Wdrożenie nawet najbardziej skomplikowanej matrycy SOD, czyli segregacji obowiązków, może zająć zaledwie kilka minut, jeśli dysponujemy odpowiednim narzędziem. Skuteczne zarządzanie SOD jest fundamentem bezpieczeństwa systemów IT w każdej firmie. Zobaczmy, jak profesjonalnie zaimplementować taką matrycę w smartGRC – rozwiązaniu, które wyróżnia się szybkością i adaptacyjnością.
W poprzednim artykule z tej serii przedstawiliśmy implementację w SAP GRC AC. Dziś idziemy o krok dalej, pokazując, jak zrealizować to samo w smartGRC. Sama logika przygotowania matrycy pozostaje bez zmian, warto więc przyjrzeć się jej wdrażaniu w praktyce.
Po zalogowaniu do smartGRC, pierwszym krokiem jest interakcja z matrycą SOD. W module SmartSOD, bogatym w funkcjonalności, kluczowa jest lista ryzyk, przedstawiająca naszą matrycę SOD powiązaną z konkretnymi zagrożeniami.
Każde ryzyko charakteryzuje się: nazwą (często numerem), osadzeniem w procesie, poziomem, opisem oraz powiązanymi czynnościami biznesowymi.
System rozróżnia dwa główne rodzaje ryzyk: Sensitive Access, czyli pojedynczy dostęp do czynności stanowiący zagrożenie (np. zmiana cen) oraz Segregation of Duties, będące kombinacją co najmniej dwóch aktywności (np. zarządzanie magazynem i odbiorcami).
Dla każdego ryzyka można określić poziom, dodać opis i przypisać właściciela, uwzględniając struktury organizacyjne. Ta ostatnia funkcja okazuje się nieoceniona w większych organizacjach, gdzie odpowiedzialność za ryzyka może zależeć od kraju lub spółki.
Kluczowe Etapy Wdrażania Matrycy SOD w smartGRC
Aby poprawnie wdrożyć matrycę SOD w smartGRC, należy przejść przez kilka kluczowych etapów:
Po pierwsze, definiujemy procesy, wprowadzając informacje o procesach biznesowych i wskazując ich właścicieli – to prosty krok realizowany za pomocą interfejsu systemu.
Następnie definiujemy grupy czynności, które agregujemy dla łatwiejszej pracy z matrycą. Warsztaty ryzyka omawiane są właśnie na poziomie grup (np. dane podstawowe klienta, księgowanie), co znacznie usprawnia cały proces.
Kolejny krok to definicja listy czynności, gdzie do każdej grupy przypisujemy konkretne czynności. Przykładowo, „księgowanie” może obejmować księgowania w różnych modułach systemu.
Kluczowe jest również definiowanie techniczne czynności, co polega na mapowaniu czynności biznesowych na obiekty autoryzacyjne w systemie.
Ostatni etap to import danych. Aby przyspieszyć wdrożenie, smartGRC umożliwia import z pliku Excel w określonym formacie, umożliwiając szybkie wprowadzenie procesów, czynności i definicji do systemu.
System daje również możliwość wykluczenia grup użytkowników (np. konsultantów, administratorów) z raportów ryzyka, ponieważ standardowo posiadają oni szerokie uprawnienia. Można także zdefiniować kontrole kompensacyjne dla zidentyfikowanych ryzyk.
smartGRC wyróżnia się tym, że obsługuje nie tylko systemy SAP, ale praktycznie wszystkie systemy IT. Moduł SmartSOD pozwala na definiowanie uprawnień dla różnych rozwiązań i automatyczne zasilanie danymi każdego podłączonego systemu.
Konfiguracja czynności biznesowej w SmartSOD zaczyna się od zdefiniowania wariantu, czyli kompletnej definicji sposobu realizacji tej czynności. Ponieważ daną czynność można wykonać na wiele sposobów, system pozwala na wprowadzenie różnych wariantów.
Określamy także system, w którym dana czynność może być realizowana, a następnie definiujemy obiekty autoryzacyjne z polami i wartościami.
Proces dla systemów innych niż SAP wygląda podobnie, ale zamiast obiektów autoryzacyjnych używamy struktury opartej o XML, definiując atomy (bezpośredni dostęp do funkcji) lub kompozyty (agregacje atomów).
Mapowanie czynności biznesowych na obiekty autoryzacyjne jest kluczowe przy implementacji matrycy SOD. W smartGRC ten proces prezentowany jest w formie drzewka, co ułatwia zrozumienie i nawigację.
Dla systemów SAP, smartGRC oferuje predefiniowane matryce oraz mapowanie do standardowych transakcji i obiektów autoryzacyjnych. Dla innych systemów, rozwiązanie umożliwia definiowanie własnych struktur poprzez szablony i interfejsy wymieniające dane w XML.
Raportowanie Ryzyk w smartGRC
Po zmapowaniu czynności biznesowych, następuje raportowanie ryzyk. smartGRC pobiera dane z dowolnych systemów (CSV, TXT, XML) oraz posiada wbudowane konektory dla systemów SAP i Active Directory. Pobranie dane łączy z technicznym mapowaniem matrycy i prezentuje w raportach.
Jedną z najbardziej imponujących cech smartGRC jest szybkość analizy. Opracowanie raportów z kilkunastu systemów dla wielu tysięcy użytkowników trwa tylko kilka sekund, co czyni to rozwiązanie jednym z najszybszych na rynku.
System oferuje różnorodne raporty, dopasowane do potrzeb różnych odbiorców: raporty biznesowe (ryzyka, poziom, opis, właściciele) oraz raporty dla administratorów, skupiające się na kwestiach technicznych, jak obiekty i role powodujące ryzyka.
W głównym widoku SmartReport widoczne jest zestawienie ryzyk w różnych ujęciach: per system, miesięczne, dzienne, per użytkownik lub rola. Można również filtrować dane według struktur organizacyjnych.
Dostępne są też raporty szczegółowe, takie jak możliwość realizacji czynności, powody przypisania czynności do użytkownika, raport kodów transakcji oraz raporty walidacyjne sprawdzające poprawność matrycy SOD.
System umożliwia również eksport danych do formatów Excel i PDF oraz integrację z narzędziami analitycznymi i systemami monitorowania bezpieczeństwa klasy SIEM.
smartGRC wyróżnia się elastycznością i wszechstronnością, wspierając nie tylko systemy SAP, ale praktycznie wszystkie systemy IT, co jest rzadkością wśród produktów GRC.
Dzięki możliwości definiowania własnych struktur i importu danych z różnych źródeł, smartGRC znajduje zastosowanie w organizacjach o różnej wielkości i złożoności. Skutecznie wspiera zarządzanie ryzykiem, pomagając w identyfikacji konfliktów uprawnień i podejmowaniu decyzji dotyczących ich akceptacji lub minimalizacji.