Przedsiębiorstwa często upatrują zagrożeń na zewnątrz organizacji, głównie ze strony działań konkurentów. Jednak dla wielu firm coraz większym wyzwaniem stają się zagrożenia wewnętrzne. Systematycznie zwiększa się liczba wykorzystywanych przez firmę systemów, wzrasta również liczba pracowników mających dostęp do firmowych danych w tych narzędziach. Prawdopodobieństwo kryzysu np. w postaci wycieku kluczowych danych jest coraz większe. Najczęstszy scenariusz to po prostu kwestia ludzkiego błędu, który pojawił się w wyniku braku wewnętrznej kontroli. Jak zatem zminimalizować ryzyko i działać prewencyjnie? Poznaj narzędzia GRC.
Zarządzanie uprawnieniami i dostępami użytkowników z SAP GRC
SAP GRC – ochrona 24/7
Zdanie sobie sprawy z zagrożeń istniejących wewnątrz organizacji to już połowa sukcesu. Dlatego coraz szersze grono CIO jest zwolennikiem wprowadzenia surowszej polityki bezpieczeństwa. Jest jednak inna droga – łatwiejsza w implementacji i skuteczniejsza. Mowa o wdrożeniu rozwiązania z obszaru zarządzania ryzykiem korporacyjnym (Governance Risk and Compliance – GRC). Co to jest system GRC? Narzędzia określane tym mianem pozwalają standaryzować wewnętrzne procesy i ustalać jasne reguły dla pracowników. Kontrolują i weryfikują czy realizacja wewnętrznych procesów pozostaje w zgodności z ustalonymi przepisami.
Duży wybór narzędzi GRC jest dostępny m.in. w ofercie firmy SAP. Dostępne systemy możemy pogrupować według ich funkcji na:
- rozwiązania do zarządzania zgodnością z przepisami: SAP GRC Access Control, SAP GRC Process Control, SAP Global Trade Services (dedykowany dla procesów logistycznych);
- rozwiązanie do zarządzania ryzykiem: SAP Risk Management (Audit Management);
- rozwiązanie do wykrywania nadużyć: SAP Fraud Management (powered by SAP HANA).
Silną stroną rozwiązań SAP GRC jest ich uniwersalność. Z poziomu jednego narzędzia zarządzamy procesami wielu systemów (ERP, BW, CRM, HCM) od różnych producentów (nie tylko SAP). Rozwiązanie jest kompatybilne z produktami dostępnymi w chmurze czy platformą SAP HANA. Co więcej, SAP GRC można wykorzystać w każdej branży i każdej firmie, bez względu na jej wielkość.
Mały krok dla firmy, duży krok dla SAP Security
Od czego zacząć? Pierwszym krokiem do świadomego zarządzania obszarem GRC jest opanowanie kwestii zarządzania tożsamością i zgodności z przepisami. Coraz więcej polskich firm pracujących w środowiskach SAP jest zainteresowana właściwym podziałem obowiązków w systemie wraz z odpowiednim nadawaniem uprawnień. Z pomocą przychodzi rozwiązanie SAP GRC Access Control, które jest zbudowane z czterech modułów:
- Access Risk Analysis (ARA) – analiza i zarządzenie ryzykiem dostępu;
- Emergency Access Management (EAM) – dostępy specjalne Firefighter;
- Access Request Management (ARM) – automatyzacja procesu zarządzania użytkownikami;
- Business Role Management (BRM) – projektowanie ról biznesowych.
4 oblicza SAP GRC Access Control
Moduł 1: Access Risk Analysis (ARA)
Moduł ARA w GRC AC rozwiązuje problemy związane z segregacją uprawnień i obowiązków wśród userów systemu. Moduł posiada funkcję analizy SoD (segregation of duties), która pomaga uniknąć krytycznych konfliktów uprawnień i odpowiednio przypisuje obowiązki.
Analizy można przeprowadzać w czasie rzeczywistym, jak również pobrać raporty w celu przeprowadzenia analiz w osobnym czasie. SoD można przeprowadzać w firmie np. regularnie raz w miesiącu. Raport SoD ma formę wizualną (diagramy). Dostęp do danych jest zależny od odbiorcy (poziom zarządczy, kierowniczy, lidera, administratora) – widok raportów można dostosować do potrzeb w zależności od osób uczestniczących w analizie. Komponent ARA umożliwia również automatyczny monitoring użytkowników i uprawnień. Dodatkowo narzędzie zapewnia symulacje przypisania nowych uprawnień i weryfikacji potencjalnych konfliktów SOD oraz jest obecna funkcjonalność właściciela ryzyka i procesu akceptacji ryzyka.
Moduł 2: Emergency Access Management (EAM)
Konieczność nadawania tymczasowo szerszych uprawnień, aby w systemie wprowadzić odpowiednie zmiany to częsty przypadek. Moduł EAM w SAP GRC pozwala nam szybko i łatwo realizować ten proces. Co więcej można go zautomatyzować, dzięki konfiguracji mechanizmów workflow nadawania dostępu i akceptacji. Oczywiście mamy nad tym obszarem pełną kontrolę – GRC zapisuje raporty z logiem aktywności użytkowników FireFighter. System odnotowuje każdą aktywność użytkownika, nawet godzinę zalogowania się i wylogowania. Dodatkowo, wspomniane dane można automatycznie wygenerować w postaci raportów z logiem aktywności Firefighterów, by posłużyły nam np. podczas audytów ISO.
Moduł 3: Access Request Management (ARM)
Moduł GRC AC ARM to rozwiązanie do automatycznego zarządzania użytkownikami i ich dostępami bazujące na mechanizmach self-service. Moduł jest oparty na requestach i akceptacji wniosków o nowych użytkownikach i uprawnieniach, a także z automatycznym resetowaniem haseł. W oparciu o dane HR lub integrację z rozwiązaniem do zarządzania tożsamością (np. Active Directory lub IBM Tivoli) mamy możliwość konfiguracji tych procesów. Moduł pozwala symulować analizę konfliktów (SoD) przed faktycznym przypisaniem uprawnień, czyli eliminujemy konflikty przed ich zaistnieniem (działania prewencyjne).
Moduł 4: Business Role Management (BRM)
GRC AC BRM to moduł komplementarny do ARM pozwalający projektować role biznesowe. W sposób scentralizowany – bezpośrednio z poziomu GRC – możemy utworzyć role biznesowe będące odpowiednikiem działu lub funkcji zawierające w sobie uprawnienia z różnych systemów (np. ERP i CRM).
SAP GRC narzędziem w rękach SOX
Ustawa Sarbesa-Oxleya (tzw. ustawa SOX) to zestaw reguł i przepisów, które wskazują odpowiedzialność ludzi za pełnienie kontroli nad procesami w przedsiębiorstwie. Dokument opisuje zasady wewnętrznej kontroli związane z raportowaniem finansowym. Należy wspomnieć, że SOX jest obligatoryjny jedynie dla amerykańskich firm i spółek od nich zależnych. Zatem wiele oddziałów międzynarodowych firm działających w Polsce jest zobowiązana przestrzegać zapisów tej ustawy. Jednak z uwagi na zawarte w ustawie najlepsze praktyki biznesowe w obszarze kontroli finansowej, coraz więcej firm z polskim rodowodem decyduje się wdrażać jej regulacje jako best practice.
Jednym ze standardów ustawy SOX jest weryfikacja realizacji procesów przez pracowników – sprawdzanie jakie dostępy i uprawnienia posiada. Weryfikujemy czy przedsiębiorstwo monitoruje możliwość zaistnienia w organizacji takich ryzyk. Idealnym narzędziem do obsługi tego procesu jest właśnie SAP GRC Acess Control, który posiada skonfigurowane i zgodne z regulacjami SOX oraz praktykami Segregation of Duties (SOD) warianty służące do przeprowadzenia analiz kontroli uprawnień krytycznych i segregacji obowiązków na poziomie użytkowników, jak również ról. Możemy świadomie zarządzać zgodnością z przepisami i budować pełną dokumentację w tym obszarze.
Dla kogo tak naprawdę SAP GRC?
Jak już wspomniano wcześniej SAP GRC można wykorzystać w każdej branży i każdej firmie, bez względu na jej wielkość. Tym rozwiązaniem powinny się jednak szczególnie zainteresować:
- przedsiębiorstwa powiązane kapitałowo z firmami amerykańskimi działające na terenie Polski,
- przedsiębiorstwa z sektora finansowego,
- spółki giełdowe,
- duże firmy produkcyjne mające rozbudowane instalacje SAP,
- firmy zainteresowane wdrażaniem zasad ładu korporacyjnego,
- organizacje poszukujące narzędzi budujących bezpieczeństwo organizacji,
- organizacje poszukujące optymalizacji w procesach zarządzania użytkownikami i uprawnieniami.
Co zyskuje firma, która wdroży SAP GRC?
Korzyść 1: ochrona wrażliwych informacji i zapobieganie przed nadużyciami – SAP GRC wykrywa ryzyka na poziomie systemów SAP i nonSAP oraz rekomenduje rozwiązania naprawcze.
Korzyść 2: oszczędność budżetów – automatyzacja procesów w obszarze kontroli pozwala na przeznaczenie czasu pracownika na inne zadania. Jeżeli środowisko IT jest bardzo rozbudowane i obszar zarządzania dostępami jest bardzo pracochłonny, możemy nawet mówić o odzyskaniu pełnego etatu.
Korzyść 3: optymalizacja pracy userów z narzędziem SAP – szybsza obsługa zgłoszeń, dzięki wykorzystaniu narzędzi samoobsługowych w narzędziu SAP GRC (wnioski i zatwierdzenia).
Korzyść 4: efektywne przygotowanie do audytów – SAP GRC prowadzi pełną i zautomatyzowaną dokumentację nt. dostępów.
Korzyść 5: rzetelna budowa zasad ładu korporacyjnego – SAP GRC jest niezależnym rozwiązaniem zgodnym z najlepszymi praktykami w obszarze zarządzania ryzykiem i budowy ładu korporacyjnego. Jego wykorzystanie jest jednoznacznym dowodem na realne przykładanie wagi do znaczenia bezpieczeństwa informacji w firmie.
Wdrożenie GRC może mieć charakter etapowy. Warto rozpocząć od jednego obszaru np. zarządzania dostępami w SAP GRC Access Control, by szybko zabezpieczyć interesy przedsiębiorstwa w tym newralgicznym obszarze. Po zbudowaniu wewnętrznych kompetencji w GRC AC, będziemy mogli rozwijać system na kolejne procesy biznesowe.
Bezpiecznie, bezpieczniej, SAP GRC
Aby realnie zabezpieczyć swoje interesy, polskie przedsiębiorstwa muszą działać prewencyjnie – również wewnątrz organizacji. Przy skomplikowanych instalacjach IT wykorzystanie systemów do zarządzania tożsamością, dostępami, uprawnieniami, użytkownikami aplikacji IT staje się dziś obligatoryjne. SAP GRC to godne rozważenia narzędzie, które pozwala firmom świadomie budować i zarządzać bezpieczeństwem oraz wspiera ład korporacyjny organizacji.