Case study – branża Retail
Klient
- Czołowy polski producent mięsa wieprzowego, hodowli trzody chlewnej, który również posiada własną dystrybucję mięsa i wędlin
- Posiada kilkanaście lokalizacji, ponad 500 użytkowników systemu SAP.
- Spółka notowana na GPW.
Wyzwanie
- Poprawa bezpieczeństwa procesów biznesowych poprzez identyfikację ryzyk nadmiarowych uprawnień, a następnie ich eliminację w uprawnieniach użytkowników SAP.
- Zbudowanie nowych uprawnień w systemie SAP w sposób zgodny z najlepszymi praktykami bezpieczeństwa, wolne od ryzyk rozdziału obowiązków oraz nadmiarowych krytycznych dostępów.
- Dopasowanie uprawnień do zakresu obowiązku pracowników na poszczególnych stanowiskach.
- Przebudowa uprawnień dla administratorów i konsultantów IT, który potrzebują szerokiego dostęp do wsparcia systemu z perspektywy technicznej natomiast powinni mieć ograniczony z perspektywy operacji biznesowych.
Zrealizowane podejście
- Zaczęto od diagnozy aktualnego stanu uprawnień użytkowników SAP – została przeprowadzona analiza ryzyka oraz analiza użycia transakcji przez użytkowników z wykorzystaniem wdrożonego narzędzia smartGRC.
- Określone zostały możliwe kierunki naprawy i po dogłębnej analizie uznano, że najkorzystniejszym rozwiązaniem jest zbudowanie ról od początku. Określono zasady budowy nowych ról.
- Opracowany został katalog ról dla obszarów finansów i kontrolingu zawierający około 180 nowych ról. Katalog nowy ról został omówiony z kluczowymi użytkownikami i przedstawicielami biznesu. Wszystkie zgłoszone sugestie zostały przeanalizowane, ważnym kryterium było założenie że nowe role powinny być wolne od ryzyk rozdziału obowiązków.
- Zbudowane zostały nowe role dla konsultantów i administratorów IT, które zastąpiły przypisane wcześniej szerokie profile i uprawnienia z nadmiarowymi dostępami biznesowymi.
- Opracowana została procedura awaryjnego nadania dostępu.
- Przeprowadzona została seria krótkich szkoleń i ćwiczeń w systemie dla osób biorących udział w nadawaniu uprawnień.
Efekt
- Zakres uprawnień użytkowników zostały dostosowany do faktycznie realizowanych obowiązków w systemie SAP.
- Zaimplementowane role umożliwiły zarządzanie autoryzacjami z dużo większą swobodą i elastycznością przy jednocześnie zwiększonym poziomie bezpieczeństwa operacji.
- Łączna liczba ryzyk rozdziału obowiązków dla użytkowników z obszaru finansów i kontrolingu została zmniejszona o 69%.
- Niektóre z ryzyk w obszarze finansów zostały wyeliminowane całkowicie, a w kilku przypadkach redukcja przekroczyła 90%.
- Liczba ryzyk w obszarze IT została zmniejszona o 67%.
- Przebudowa ról dla obszarów finansowego, kontrolingu oraz IT wyeliminowała ponad 1200 ryzyk.