ROZWIĄZANIA BIZNESOWE
OBIEG DOKUMENTÓW I ARCHIWIZACJA
BEZPIECZEŃSTWO
E-COMMERCE
MARKETING
ANALITYKASZKOLENIE: SAP SECURITY
SAP Authorization Governance Framework
Zbuduj trwały model decyzyjny, odpowiedzialności i kontroli dostępu w SAP.
Opis szkolenia
Brak jasno zdefiniowanego modelu governance w SAP prowadzi do chaosu decyzyjnego, nadmiarowych uprawnień, konfliktów SoD oraz niskiej audytowalności.
SAP Authorization Governance Framework to struktura, która porządkuje kto decyduje, za co odpowiada i na jakich zasadach w obszarze dostępów do SAP zanim pojawi się GRC, SoD czy narzędzia kontrolne.
Szkolenie koncentruje się na fundamentach organizacyjnych i procesowych, bez których bezpieczeństwo SAP nie działa:
własność ról, odpowiedzialność biznesowa, model decyzyjny (RACI), procesy JML, wyjątki, emergency access oraz recertyfikacja.
Warsztaty prowadzą uczestników krok po kroku przez strukturalny model governance, który można bezpośrednio zaadaptować w organizacji – niezależnie od skali, branży czy etapu (ECC / S/4HANA).
O prelegencie
Tomasz Jurgielewicz
Head of Security Development
Realizuje kompleksowe projekty bezpieczeństwa oraz optymalizacji kosztów licencji, koncentrując się na takich obszarach jak:
- identyfikacji konfliktów uprawnień i reorganizacji autoryzacji,
- identyfikacja podatności SAP,
- integracja rozwiązań SIEM z SAP,
- optymalizacja licencji SAP.
Kluczowe informacje
Dla kogo przeznaczone są szkolenia?
Szkolenia kierujemy do:
• Zespołów SAP Security / Autoryzacji
• Właścicieli procesów i danych
• Managerów IT, bezpieczeństwa i compliance
• Audytu wewnętrznego i kontroli finansowej
• Liderów transformacji SAP i migracji do S/4HANA
• Organizacji planujących wdrożenie SAP GRC lub Access Control
Nie jest wymagana wiedza programistyczna – szkolenie skupia się na logice organizacyjnej i procesowej, a nie na technicznym role buildingu.
Cele szkolenia
Po zakończeniu uczestnik potrafi:
Zbudować kompletny SAP Authorization Governance Framework.
Wyznaczyć i udokumentować własność ról, procesów i ryzyk.
Oddzielić odpowiedzialność biznesową od technicznej.
Zaprojektować model decyzyjny RACI dla dostępów SAP.
Opracować procesy: JML, change, wyjątki i emergency access.
Przygotować organizację pod SoD, GRC i audyty.
Zapewnić pełną audytowalność decyzji dostępowych.
Zakres szkolenia
Szkolenie obejmuje wszystkie kluczowe elementy SAP Authorization Governance Framework:
1. Fundament organizacyjny – własność i odpowiedzialność
• Identyfikacja właścicieli procesów biznesowych
• Mapowanie procesów na T-cody
• Zasady akceptacji dostępu do T-codów
• Standaryzacja nazw stanowisk i weryfikacja z HR
• Rozróżnienie:
– ról funkcjonalnych (technical / business / process),
– ról stanowiskowych (job roles – composite)
• Własność:
– ról funkcjonalnych,
– ról stanowiskowych,
– zatwierdzania zawartości ról (klucz do governance)
2. Procesy autoryzacyjne (operacyjne)
• Zatwierdzanie przypisania ról użytkownikom
• Zatwierdzanie zmian w roli stanowiskowej
• Zmiany zawartości ról – kto decyduje i dlaczego
• Proces JML (Joiner–Mover–Leaver) inicjowany w HR
• Zasada: brak zmian technicznych bez decyzji biznesowej
3. Przygotowanie do zarządzania ryzykiem
• Definicja krytycznych obiektów i T-codów
• Funkcje, procesy i matryca SoD
• Własność ryzyka i odpowiedzialność biznesowa
4. Model decyzyjny (RACI)
• RACI dla: dostępu do T-codów, zawartości ról funkcjonalnych, ról stanowiskowych, wyjątków SoD
• Praktyczne przykłady podziału odpowiedzialności
• Eliminacja „szarej strefy decyzyjnej”
5. Polityka wyjątków (Exception Management)
• Kto może zatwierdzić wyjątek
• Na jak długo obowiązuje wyjątek
• Rejestrowanie i audyt wyjątków
• Odpowiedzialność za ryzyko biznesowe
• Kiedy dopuszczalne jest złamanie standardu (np. SoD)
6. Emergency Access / Firefighter
• Role awaryjne – zasady projektowania
• Reguły nadawania i odbierania
• Logowanie i ślad audytowy
• Retrospektywne zatwierdzenie dostępu
7. Recertyfikacja dostępów (Access Review)
• Okresowe przeglądy ról użytkowników
• Recertyfikacja ról stanowiskowych
• Recertyfikacja krytycznych T-codów
• Częstotliwość i odpowiedzialność
• Konsekwencje braku akceptacji
8. Zarządzanie cyklem życia roli
• Wniosek o nową rolę
• Projektowanie roli
• Akceptacja biznesowa
• Implementacja i testy
• Wycofywanie ról (retirement)
9. Zasady projektowania ról
• Jedna funkcja = jedna rola funkcjonalna
• Brak T-codów w rolach stanowiskowych
• Brak wildcardów
• Konwencje nazewnicze
• Jasno określony zakres odpowiedzialności roli
10. Audytowalność i ślad decyzyjny
• Rejestrowanie decyzji: kto zatwierdził, kiedy, na jakiej podstawie
• Przygotowanie do audytu wewnętrznego, zewnętrznego i SOX
Dlaczego warto?
Governance zanim wprowadzisz GRC i SoD
Spójny, praktyczny model oparty na realnych wdrożeniach
Jasny podział odpowiedzialności – koniec „nikt nie wie kto”
Gotowe struktury, RACI i procesy
Pełna audytowalność decyzji dostępowych
Format szkolenia
Warsztaty projektowe w organizacji (budowa frameworku)
Sesje doradcze 1:1 dla liderów i właścicieli procesów
Efekt końcowy dla Twojej organizacji
Po szkoleniu organizacja posiada wiedzę o tym jak zbudować SAP Authorization Governance Framework, obejmujący:
model własności i odpowiedzialności,
procesy autoryzacyjne i JML,
zasady wyjątków i emergency access,
strukturę pod SoD, GRC i audyt,
pełny ślad decyzyjny.
To solidna baza do:
uporządkowania dostępów,
wdrożenia SAP GRC,
migracji do S/4HANA,
przejścia audytów bez „gaszenia pożarów”.
Porozmawiajmy o szczegółach szkolenia dla Twojej firmy
Twoje potrzeby, nasze wsparcie.
Porozmawiajmy
Twoje potrzeby, nasze wsparcie. Porozmawiajmy