AFFÄRSLÖSNINGAR
SÄKERHET
CIRKULATION OCH ARKIVERING AV DOKUMENT
E-COMMERCE
ANALYTIK
MARKNADSFÖRINGUTBILDNING: SAP-SÄKERHET
SAP Authorization Governance Framework
Bygg en hållbar modell för beslutsfattande, ansvar och åtkomstkontroll i SAP.
Beskrivning av utbildningen
Brist på en tydligt definierad SAP-styrningsmodell leder till kaos i beslutsfattande, överlappande behörigheter, SoD-konflikter och låg revisionsbarhet.
SAP Authorization Governance Framework är en struktur som organiserar vem som bestämmer, vad de ansvarar för och på vilka principer när det gäller SAP-åtkomster innan GRC, SoD eller kontrollverktyg tillkommer.
Utbildningen fokuserar på de organisatoriska och processuella grunderna, utan vilka SAP-säkerhet inte fungerar:
rolle och ansvar, affärsansvar, beslutsmodeller (RACI), JML-processer, undantag, nödvändiga behörigheter och omcertifiering.
Workshoparna guidar deltagarna steg för steg genom en strukturell styrningsmodell som direkt kan anpassas i organisationen – oavsett storlek, bransch eller fas (ECC / S/4HANA).
Om talaren
Tomasz Jurgielewicz
Chef för säkerhetsutveckling
Genomför heltäckande säkerhets- och licensoptimeringsprojekt, med fokus på områden som:
- Identifiering av behörighetskonflikter och omorganisering av behörighet,
- Identifiering av SAP-sårbarheter,
- integration av SIEM-lösningar med SAP,
- Optimering av SAP-licenser.
Viktig information
Vem är utbildningen avsedd för?
Utbildningen riktar sig till:
• SAP Säkerhetsgrupper / Auktorisering
Process- och dataägare
• IT-, säkerhets- och compliance-chefer
• Intern granskning och finansiell kontroll
• Ledare inom SAP-transformation och migrering till S/4HANA
• Organisationer som planerar implementering av SAP GRC eller Access Control
Inga programmeringskunskaper krävs – utbildningen fokuserar på organisatorisk och processuell logik, snarare än teknisk rollbyggnad.
Mål för utbildningen
Efter avslutad kurs ska deltagaren kunna:
Bygga en komplett SAP Authorization Governance Framework.
Fastställa och dokumentera ägande av roller, processer och risker.
Skilja affärsansvar från tekniskt ansvar.
Designa en RACI-beslutsmodell för SAP-åtkomsthantering.
Utveckla processer: JML, ändring, undantag och nödinloggning.
Förbered organisationen för SoD, GRC och revisioner.
Tillhandahålla fullständig granskningsbarhet av åtkomstbeslut.
Utbildningens omfattning
Utbildningen täcker alla nyckelelement i SAP Authorization Governance Framework:
1. Organisationsstruktur – ägande och ansvar
• Identifiering av processägare
• Kartläggning av processer till T-koder
• Regler för godkännande av åtkomst till T-koder
• Standardisering av befattningsnamn och verifiering med HR
• Ursprung:
– funktionella roller (tekniska / affärsmässiga / processrelaterade),
– rollpositioner (job duties – composite)
• Egendom:
– funktionella roller,
– om tjänster,
– godkännande av rollinnehåll (nyckel till styrning)
2. Autentiseringsprocesser (operativa)
• Godkännande av rolltilldelningar till användare
• Godkännande av ändringar av befattningsroller
• Förändringar i rollinnehåll – vem beslutar och varför
• JML-processen (Joiner–Mover–Leaver) initieras inom HR
Princip: Inga tekniska ändringar utan affärsbeslut
3. Förberedelse för riskhantering
• Definition av kritiska objekt och T-koder
• Funktioner, processer och SoD-matris
• Riskägande och affärsansvar
4. Beslutsmodell (RACI)
• RACI för: åtkomst till T-koder, innehåll i funktionella roller, befattningsroller, SoD-undantag
• Praktiska exempel på ansvarsfördelning
Borttagande av den „grå beslutszonen”
5. Felhantering (Exception Management)
Vem kan godkänna ett undantag
• Hur länge gäller undantaget
• Registrering och granskning av undantag
• Ansvar för affärsrisker
• När är det acceptabelt att bryta mot en standard (t.ex. SoD)
6. Nödtillgång / Räddningstjänst
• Nödsystem – designprinciper
• Regler för tilldelning och mottagning
• Inloggning och revisionsspår
• Retroaktiv godkännande av åtkomst
7. Återcertifiering av behörigheter (Access Review)
• Periodiska granskningar av användarroller
• Omcertifiering av tjänsteroller
• Omsättning av kritiska T-koder
Frekvens och ansvar
Konsekvenser av bristande acceptans
8. Hantering av rollens livscykel
Ansökan om ny roll
• Rollgestaltning
• Affärsmässig acceptans
• Implementering och tester
• pensionering
9. Principer för rollutformning
En funktion = en funktionell roll
- Brist på T-koder i tjänsteroller
• Inga jokrar
Namngivningskonventioner
• Tydligt definierat ansvarsområde för rollen
10. Revisionsbarhet och beslutsprocess
• Registrering av beslut: vem som godkände, när, på vilken grund
• Förberedelse inför intern, extern och SOX-revision
Varför är det värt det?
Styrning innan du introducerar GRC och SoD
En sammanhängande, praktisk modell baserad på verkliga implementationer
Tydlig ansvarsfördelning – slut på „ingen vet vem”
Färdiga strukturer, RACI och processer
Fullständig granskningsbarhet av åtkomstbeslut
Utbildningsformat
Projektverkstad i organisationen (bygga ramverk)
1:1 rådgivningssessioner för ledare och processägare
Slutresultatet för din organisation
Efter utbildningen kommer organisationen att ha kunskap om hur man bygger ett SAP Authorization Governance Framework, vilket inkluderar:
ansvarsmodell,
auktoriseringsprocesser och JML,
regler för undantag och nödinloggning,
struktur under SoD, GRC och revision,
fullt beslutspår.
Två solida baser för:
ordna åtkomster,
SAP GRC-implementeringar,
migrering till S/4HANA,
revisioner utan „brandsläckning”.
Låt oss prata om detaljerna i utbildningen för ditt företag
Dina behov, vårt stöd.
Låt oss prata
Dina behov, vårt stöd. Låt oss prata om det