Co powinna zawierać koncepcja uprawnień SAP?

Udostępnij

Z mojej obserwacji wynika iż Koncepcja Uprawnień, obok projektu reorganizacji uprawnień jawi się niczym zgroza audytowanych kierowników oraz administratorów uprawnień.
Jednak tylko w przypadku, gdy takiej dokumentacji nie prowadzono w organizacji lub nie była ona aktualizowana wiele lat, a często od czasów wdrożenia SAP w danym przedsiębiorstwie.
Można by się zapytać, gdzie podziała się nasza kultura piśmiennicza? 😉

Warsztaty z Koncepcji Uprawnień często zaczynam (niczym na wykładzie akademickim) rozgrzewką w postaci pytań skierowanych do klientów:

Co to jest Koncepcja Uprawnień waszym zdaniem?

Jakie treści i elementy może, a które powinna zawierać?

Zdecydowanie najtrudniej jest organizacjom, które odkładają wszelkie działania dokumentacyjne na ostatni moment (lub nigdy).

„Skupiamy się na ciągłości biznesu, nie na pisaniu procedur.”

„Mamy zbyt mało zasobów żeby zajmować się tworzeniem, przeglądem i aktualizacją dokumentacji, musimy dostarczać wyniki.”

„Jako administrator uprawnień codziennie przerabiam kilkadziesiąt ticketów, czy naprawdę myślisz, że mam czas na dokumentację?”

To wszystko brzmi znajomo, prawda?
Co więcej, trudno się nie zgodzić z zasadnością przytoczonych pytań.

A teraz wyobraźcie sobie następujące sytuacje i odpowiedzi:

SYTUACJA 1

“Przyszło kilka nowych osób do obsługi procesów do departamentu Kasi i nie za bardzo wiedzą jak złożyć wniosek o nowe uprawnienia, najgorsze, że codziennie dostaję te same pytania od pojedynczych osób. Ja nie mam czasu im tłumaczyć tego jak to u nas wygląda…

ROZWIĄZANIE

– Nadam im dostęp do części Koncepcji Uprawnień przeznaczonej dla Biznesu, niech przeczytają ze zrozumieniem, jest tam informacja o składaniu wniosków, formułce i niezbędnych informacjach potrzebnych do poprawnego przetworzenia zgłoszenia.

– Super, dzięki, zaoszczędziłaś mi czasu na codziennie mini szkolenia.

SYTUACJA 2

– Marek, szybko! Wpadli do mnie znienacka audytorzy i pytają się o Koncepcję Uprawnień SAP, co to jest? Mamy to? Kurczę, co roku pytają i Marta zawsze coś miała pod ręką, ale teraz jest na swoim sabbatical year, najpewniej w buszu w Nowej Zelandii, nie odpisuje na WA i nikt nie wie co się stało z tymi plikami.

ROZWIĄZANIE

– Jest na zasobie, zaraz podeślę link i nadam Ci stałe uprawnienia do wglądu.

-Uffff, co za ulga. Dzięki za ratunek!”

SYTUACJA 3

– Hey, nasz nowy kierownik developerów na dzisiejszym spotkaniu zespołu wyraził niezadowolenie z powodu częstych sytuacji z brakiem uprawnień u jego pracowników. Od jutra nakazał żeby wszyscy mieli SAP_ALL, żeby uniknąć czekania na analizę i rozwiązanie ticketów.

ROZWIĄZANIE

– Nie nadajemy developerom ani konsultantom modułowym SAP_ALL, jest o tym osobny rozdział w przyjętej przez naszą firmę Koncepcji Uprawnień. Mamy procedurę na rozszerzone uprawnienia Firefightera, zaproponuj proszę twojemu kierownikowi 15 minutowy slot na spotkanie, przedstawię mu możliwości. Jestem pewna, że będzie zadowolony z takiego rozwiązania.

– Pewnie, brzmi dobrze. Robi się!

Czy i te przytoczone scenki brzmią dla Was znajomo?
Jeśli tak, to znaczy, że jesteście na dobrej drodze ku stworzeniu czy ulepszeniu Waszej Koncepcji Uprawnień, bo zidentyfikowaliście potrzeby biznesowe takiej dokumentacji.

Co powinna zawierać Koncepcja Uprawnień?

Każdy klient i każde przedsiębiorstwo jest inne, ale wyróżniamy cztery główne rdzenie Koncepcji Uprawnień:

  1. Podstawowy podział ról w organizacji (pojedyncze, zbiorcze, pochodne, referencyjne, szablonowe)
  2. Proces zarządzania użytkownikami (wnioski, akceptacja, wykonanie, dokumentacja z działań)
  3. Proces zarządzania rolami (wnioski, akceptacja, wykonanie, dokumentacja z działań)
  4. Polityka SoD (obowiązująca matryca uprawnień, konflikty krytyczne, odpowiedzialni za cykliczną kontrolę)

Powyższe przykłady to tylko część istotnych informacji, które powinny znaleźć się w Koncepcji Uprawnień.

Zespół konsultantów SAST Polska posiada doświadczenie zarówno w pracach supportowych jak i projektowych. Pomagamy naszym klientom projektować i tworzyć Koncepcje Uprawnień.
Oferujemy szablony dopasowane do potrzeb klienta, które omawiamy na dedykowanych warsztatach.
Jeśli zależy Ci na stworzeniu kompletnej dokumentacji Koncepcji Uprawnień SAP, chętnie Was w tym wesprzemy. Nie jest to takie straszne jak by się mogło wydawać. Zapraszamy do kontaktu.

Tomasz Jurgielewicz

Head of Security Department w Lukardi. Od 10 lat prowadzi zespół specjalistów SAP Security, dostarczając kompleksowe usługi i narzędzia do zabezpieczenia systemów SAP oraz optymalizacji licencji. Doświadczenie w obszarze: - identyfikacji konfliktów uprawnień i reorganizacji autoryzacji, - identyfikacja podatności SAP, - integracja rozwiązań SIEM z SAP, - optymalizacja licencji SAP.