Die Implementierung selbst der komplexesten SOD-Matrix(Segregation of Duties) kann nur wenige Minuten dauern, wenn Sie das richtige Tool haben. Eine wirksame SOD-Verwaltung ist die Grundlage der IT-Sicherheit in jedem Unternehmen. Lassen Sie uns sehen, wie Sie eine solche Matrix professionell in smartGRC implementieren, einer Lösung, die sich durch ihre Schnelligkeit und Anpassungsfähigkeit auszeichnet.
Im vorherigen Artikel dieser Serie haben wir die Implementierung in SAP GRC AC vorgestellt. Heute gehen wir einen Schritt weiter und zeigen, wie Sie dasselbe in smartGRC implementieren können. Die Logik der Matrixvorbereitung selbst bleibt unverändert, so dass es sich lohnt, die Umsetzung in der Praxis zu betrachten.
Sobald Sie sich bei smartGRC angemeldet haben, besteht der erste Schritt darin, mit der SOD-Matrix zu interagieren. Ein wichtiges Merkmal des funktionsreichen smartSOD-Moduls ist die Liste der Risiken, die unsere SOD-Matrix in Verbindung mit bestimmten Risiken zeigt.
Jedes Risiko wird charakterisiert durch: Name (oft nummeriert), Prozesseinbettung, Ebene, Beschreibung und zugehörige Geschäftsaktivitäten.
Das System unterscheidet zwischen zwei Haupttypen von Risiken: Sensibler Zugriff, d.h. ein einzelner Zugriff auf eine Aktivität, die ein Risiko darstellt (z.B. Preisänderung), und Aufgabentrennung, d.h. eine Kombination von zwei oder mehr Aktivitäten (z.B. Lager und Kundenverwaltung).
Für jedes Risiko kann eine Stufe definiert, eine Beschreibung hinzugefügt und ein Verantwortlicher zugewiesen werden, wobei die Organisationsstrukturen berücksichtigt werden. Diese letzte Funktion ist von unschätzbarem Wert in größeren Organisationen, in denen die Zuständigkeit für Risiken von Land oder Unternehmen abhängen kann.
Schlüsselphasen bei der Implementierung der SOD-Matrix in smartGRC
Um die SOD-Matrix in smartGRC richtig zu implementieren, müssen mehrere wichtige Schritte befolgt werden:
Zunächst definieren wir die Prozesse, indem wir Informationen über die Geschäftsprozesse eingeben und ihre Eigentümer angeben – ein einfacher Schritt, der über die Schnittstelle des Systems erfolgt.
Anschließend definieren wir Gruppen von Aktivitäten, die wir zur leichteren Arbeit mit der Matrix zusammenfassen. Auf der Ebene der Gruppen wird im Risikoworkshop diskutiert (z.B. Kundenstammdaten, Buchhaltung), was den gesamten Prozess sehr viel effizienter macht.
Der nächste Schritt besteht darin, eine Liste von Aktivitäten zu definieren, wobei wir jeder Gruppe bestimmte Aktivitäten zuordnen. Zum Beispiel könnte ‚Buchung‘ Buchungen in verschiedenen Modulen des Systems umfassen.
Die technische Definition von Aktivitäten ist ebenfalls von zentraler Bedeutung. Dazu gehört die Zuordnung von Geschäftsaktivitäten zu Berechtigungsobjekten im System.
Der letzte Schritt ist der Import von Daten. Um die Implementierung zu beschleunigen, ermöglicht smartGRC den Import aus einer Excel-Datei in einem bestimmten Format, so dass Prozesse, Aktivitäten und Definitionen schnell in das System eingegeben werden können.
Das System bietet auch die Möglichkeit, Benutzergruppen (z.B. Berater, Administratoren) von den Risikoberichten auszuschließen, da diese standardmäßig über umfassende Rechte verfügen. Für identifizierte Risiken können auch kompensierende Kontrollen definiert werden.
smartGRC zeichnet sich dadurch aus, dass es nicht nur SAP-Systeme, sondern praktisch alle IT-Systeme unterstützt. Das SmartSOD-Modul ermöglicht die Definition von Berechtigungen für verschiedene Lösungen und die automatische Dateneinspeisung jedes angeschlossenen Systems.
Die Konfiguration einer Geschäftsaktivität in SmartSOD beginnt mit der Definition einer Variante, d.h. einer vollständigen Definition, wie die Aktivität ausgeführt werden kann. Da eine Aktivität auf viele Arten ausgeführt werden kann, ermöglicht das System die Einführung verschiedener Varianten.
Wir geben auch das System an, in dem die Aktion durchgeführt werden kann, und definieren dann Berechtigungsobjekte mit Feldern und Werten.
Der Prozess für Nicht-SAP-Systeme sieht ähnlich aus, aber anstelle von Berechtigungsobjekten verwenden wir eine XML-basierte Struktur, in der Atome (direkter Zugriff auf Funktionen) oder Composites (Zusammenstellungen von Atomen) definiert werden.
Die Zuordnung von Geschäftsaktivitäten zu Berechtigungsobjekten ist der Schlüssel zur Implementierung der SOD-Matrix. In smartGRC wird dieser Prozess in einem Baumformat dargestellt, um das Verständnis und die Navigation zu erleichtern.
Für SAP-Systeme bietet smartGRC vordefinierte Matrizen und Zuordnungen zu Standardtransaktionen und Berechtigungsobjekten. Für andere Systeme können Sie mit der Lösung Ihre eigenen Strukturen über Vorlagen und Schnittstellen definieren, die Daten in XML austauschen.
Risikoberichterstattung in smartGRC
Sobald die Geschäftsaktivitäten abgebildet sind, folgt die Risikoberichterstattung. smartGRC lädt Daten aus beliebigen Systemen herunter (CSV, TXT, XML) und verfügt über integrierte Anschlüsse für SAP- und Active Directory-Systeme. Der Download kombiniert die Daten mit dem technischen Mapping der Matrix und stellt sie in Berichten dar.
Eine der beeindruckendsten Eigenschaften von smartGRC ist die Geschwindigkeit der Analyse. Es dauert nur ein paar Sekunden, um Berichte von einem Dutzend Systemen für viele Tausend Benutzer zu erstellen, was diese Lösung zu einer der schnellsten auf dem Markt macht.
Das System bietet eine Vielzahl von Berichten, die auf die Bedürfnisse verschiedener Zielgruppen zugeschnitten sind: Geschäftsberichte (Risiken, Stufe, Beschreibung, Eigentümer) und Berichte für Administratoren, die sich auf technische Fragen wie Objekte und Rollen konzentrieren, die Risiken verursachen.
In der Hauptansicht von SmartReport können Sie eine Zusammenfassung der Risiken in verschiedenen Ansichten sehen: pro System, monatlich, täglich, pro Benutzer oder Rolle. Sie können die Daten auch nach der Organisationsstruktur filtern.
Es stehen auch detaillierte Berichte zur Verfügung, wie z.B. die Durchführbarkeit einer Aktivität, Gründe für die Zuordnung einer Aktivität zu einem Benutzer, ein Transaktionscodebericht und Validierungsberichte zur Überprüfung der Richtigkeit der SOD-Matrix.
Das System ermöglicht auch den Datenexport in Excel- und PDF-Formate sowie die Integration mit Analysetools und Sicherheitsüberwachungssystemen der SIEM-Klasse.
smartGRC zeichnet sich durch seine Flexibilität und Vielseitigkeit aus. Es unterstützt nicht nur SAP-Systeme, sondern praktisch alle IT-Systeme, was bei GRC-Produkten selten ist.
Mit der Möglichkeit, benutzerdefinierte Strukturen zu definieren und Daten aus einer Vielzahl von Quellen zu importieren, ist smartGRC für Organisationen jeder Größe und Komplexität geeignet. Es unterstützt effektiv das Risikomanagement, indem es hilft, Kompetenzkonflikte zu erkennen und Entscheidungen über deren Akzeptanz oder Minimierung zu treffen.
