Autorisatiebeheer
Autorisaties in SAP zijn zeer complex en dreigen bij een ondoorzichtige inrichting daardoor vaak onveilig te worden. Uit ervaringscijfers blijkt dat 40 tot 60% van de gebruikers te veel of onjuiste rechten hebben.
Kent u de huidige stand van zaken betreffende autorisaties?
- Is het systeem eenvoudig te onderhouden ?
- Betaal ik de juiste licentiekosten?
- Is duidelijk wie welke transacties kan uitvoeren?
- Is de gewenste functiescheiding ook in de systeemautorisaties doorgevoerd?
- Welke gebruiker heeft toegang tot welke transacties?
- Hebben de speciale SAP users de juiste rechten?
- Welke gebruiker heeft toegang tot welke organisatorische eenheden?
- Heb ik de noodtoegang (emergency access) goed geregeld?
- Is mijn documentatie in orde?
- Heb ik de SAP-parameters goed staan?
2ARC biedt de mogelijkheid om in 1 dag een autorisatiescan uit te voeren binnen uw bedrijf door het maken van een snapshot van de huidige stand van zaken. Geïnteresseerd? Neem dan contact met ons op.
l KNOWLEDGE BASE l Ook goed om te weten ….
Wijzigingsbeheer van autorisatierollen is niet waterdicht.
Het kan leiden tot meer functiescheidingsconflicten!
– door Jos de Waal –
Autorisatiebeheer en functiescheiding
Bij het beheer van autorisaties in SAP in de productieomgeving is het best een uitdaging om te zorgen dat de omgeving vrij blijft van functiescheidingsconflicten.
Natuurlijk bieden GRC-softwarepakketten hulpmiddelen om dit te gecontroleerd te doen. Met name bij de toekenning van additionele rollen aan gebruikers worden concrete oplossingen geboden voor de complexe materie voor functiescheidingseisen (SoD-issues) in de SAP-autorisaties. Lastiger is het om ook de wijzigingen in autorisatierollen gecontroleerd naar het productiesysteem te brengen (ervan uitgaande dat dit via een OTAP-route[1] gaat).
Hieronder worden enkele voorbeelden aangegeven waarop gelet moet worden.
Preventieve controlemogelijkheden
Een manier om dit te controleren is om vooraf – dat wil zeggen voordat de wijziging op basis van een verzoek of een autorisatieprobleem in Productie wordt verwerkt – een simulatie uit te voeren met behulp van GRC-software.
Een alternatieve manier is het uitvoeren van een offline check op basis van een matrix met conflicterende rollen als er enkelvoudige rollen in een samengestelde rol moeten worden gevoegd.
Een systeemsimulatie kan op meerdere momenten in het wijzigingsproces worden uitgevoerd en heeft als voordeel boven een conflicterende rollenmatrix dat opeenstapeling van rollen (aggregatie van autorisaties) beter wordt meegenomen in de analyse. Als zodanig geeft een simulatie met hulp van GRC-software dus een meer volledig en betrouwbaar beeld van de impact van rolwijzigingen.
Controles niet waterdicht
Maar beide aanpakken hebben het nadeel dat tussen het moment van de check/simulatie en de daadwerkelijke implementatie op de productieomgeving altijd enige tijd zit en er tussentijds zaken gewijzigd kunnen zijn waardoor de eerdere checks/simulaties niet meer compleet zijn en dus onvoorziene functiescheidingsconflicten op productie zich kunnen voordoen. Oorzaken hiervan kunnen zijn transporten met rolwijzigingen die tussentijds in de productieomgeving zijn doorgevoerd of dat users andere rollen erbij hebben gekregen.
Voor een conflictenmatrix is de tijd nog wat langer omdat de matrix enige tijd vóór het uitvoeren van de controle opgesteld zal zijn en daardoor mogelijk niet meer strookt met de actuele situatie in het systeem. Bij een simulatie is het belangrijk dat daadwerkelijk alle users worden meegenomen die de te wijzigen rol op productie hebben.
Rolontwerp is cruciaal
Het is dus zaak om bij het inrichten van het change managementproces met het bovenstaande rekening te houden. Twee elementen zijn bij de hele inrichting sowieso belangrijk. Ten eerste het rollenconcept en op welke wijze rollen moeten worden toegekend (wel of geen samengestelde rollen, wel of geen direct toegekende enkelvoudige rollen). Verder bepalen de definities van de functiescheidingsconflicten en met name de rule of functie definities met de transacties en bijbehorende objecten welke rollen kritisch zijn voor de functiescheidingsconflicten. De opbouw en detaillering van die definities kunnen zaken complexer maken.
De perfecte oplossing is dat slechts één enkele samengestelde rol aan een user mag worden toegewezen. Alle samengestelde rollen kunnen in het change management goed gecontroleerd worden en uiteindelijk dan schoon (SoD vrij) in productie worden geïmplementeerd. Zodra meer dan één rol aan een gebruiker wordt toegekend kunnen de combinaties onverwachte functiescheidingsrisico’s introduceren. Dit laatste is veelal toch het geval bij organisaties.
Detectieve controles altijd van belang
Om dan toch de productieomgeving zo schoon mogelijk te houden, is het raadzaam om periodiek een integrale controle op functiescheidingsconflicten uit te voeren. Hoe meer van deze controles, hoe beter.
Het betekent niet dat simulaties of het gebruik van een conflictenmatrix geen zin hebben. Immers: voorkomen is beter dan genezen. Alle issues die eerder ondervangen worden, belasten het change managementproces minder en voorkomen eventuele uitgebreide saneringstrajecten.
Conclusies ten aanzien van het change managementproces van de autorisatierollen
Een goed autorisatiebeheer vergt een solide basis van preventieve controles (rollen concept, duidelijke SoD-rules en change management op rolwijzigingen). Die kan veel onnodige risico’s door functievermenging voorkomen, maar is niet waterdicht! Daarom zijn de detectieve controles (periodiek volledige SoD-scans) zeker zo belangrijk.
Bij het op elkaar afstemmen van verschillende controlemaatregelen moet zo goed mogelijk evenwicht worden gezocht tussen preventieve en detectieve controles. Het resultaat kan per organisatie verschillen, daar het mede afhankelijk is van het risicoprofiel en de bedrijfscultuur.
[1] OTAP staat voor Ontwikkeling-, Test-, Acceptatie- en Productiefase.
Knowledge Base ● Wijzigingsbeheer autorisatierollen ● Sept. 2022