BLOG

Åtkomstgranskning i SAP – nyckeln till säkerhet och efterlevnad

Varför är auktorisationer så viktiga?

I SAP börjar varje åtkomst med en auktorisation: användare → roll → rättigheter → transaktioner/applikationer/auktorisationsobjekt. Det avgör vem som kan skapa ett dokument, ändra data, godkänna en betalning eller öppna en redovisningsperiod. Om behörighetssystemet utformas och underhålls på rätt sätt fungerar SAP säkert, effektivt och i enlighet med gällande bestämmelser.
Om det däremot saknas en konsekvent utformning eller kontroller skapas säkerhetsluckor som kan leda till bedrägerier, fel eller bristande efterlevnad av revisionskrav.

Behörighetsstrukturen i SAP är flerskiktad och begränsad på applikations-, transaktions-, objekt- och fältvärdesnivå. Detta beror naturligtvis på processflöden och affärskoncept och till och med på hur teamen arbetar. Detta har praktiska konsekvenser: utan konsekventa regler och ständig kontroll är det lätt att få redundanta åtkomster, dubbla roller och SoD-konflikter som är svåra att upptäcka ”med ögat”.

Trygghet och ordning i rollerna

Väl utformade roller stärker de finansiella kontrollerna, minskar bedrägerier och fel, samtidigt som revisioner påskyndas. Ordnade behörigheter innebär också lägre kostnader: färre dyra ”för säkerhets skull”-licenser, enklare migreringar (t.ex. till S/4HANA) och smidigare uppgraderingar. Granskning av användarrättigheter och åtkomst verifierar att användarna har exakt de rättigheter som de faktiskt behöver för att utföra sina arbetsuppgifter. Syftet med revisionen är att säkerställa efterlevnad av säkerhetsregler, lagstiftning och interna företagspolicyer.

Revisionen granskar bland annat:

– Rollernas förenlighet med säkerhetspolicyn och principen omminsta möjliga privilegier – om användaren endast har de privilegier som krävs för att utföra sitt arbete.

– Förekomst av SoD-konflikter (Segregation of Duties) – t.ex. fall där en person både kan skapa en leverantör och godkänna en betalning.

– Överflödiga, oanvända eller föråldrade behörigheter – t.ex. roller som tilldelats för länge sedan men som inte längre behövs eller som inte har använts på länge.

– Processer för hantering av användarnas livscykel (Joiner-Mover-Leaver) – om åtkomst beviljas nyanställda på ett kontrollerat sätt, uppdateras när de byter tjänst och återkallas när de lämnar företaget.

– Förberedelser inför interna och externa revisioner – t.ex. efterlevnad av revisionskrav enligt ITGC, SOX, RODO eller ISO 27001 och fullständig dokumentation av åtkomstgodkännande.

– Nödåtkomst (brandman / nödåtkomst) – om de är korrekt redovisade och övervakade efter användning.

– Tekniska användare och systemanvändare – om de har rätt befogenheter och om deras aktiviteter loggas och övervakas på rätt sätt.

Risker till följd av okontrollerad åtkomst

Alltför omfattande eller dåligt tilldelade befogenheter kan leda till:

  • Bedrägeri – t.ex. kan en anställd med tillgång till redovisningssystemet godkänna sina egna fakturor, skapa fiktiva uppdragstagare eller initiera och godkänna överföringar på egen hand.
  • Dataläckage – t.ex. administratörer med obegränsade rättigheter kopierar kunddatabaser till externa medier eller till privata moln, vilket kan leda till förlust av konfidentiell information och minskat förtroende från kunderna.
  • Driftfel – t.ex. en användare med tillgång till produktionssystemets konfiguration raderar eller ändrar kritiska data av misstag, vilket orsakar driftstopp eller störningar i affärsprocesserna
  • Kostnader och sanktioner till följd av bristande efterlevnad – t.ex. bristande kontroll över rättigheter leder till brott mot lagstadgade krav (RODO/GDPR, SOX, ISO 27001), vilket kan leda till ekonomiska påföljder, förlust av certifiering eller organisationens rykte.
  • Onödiga utgifter för licenser – t.ex. användare har tillgång till moduler och applikationer som de aldrig använder, vilket leder till att företaget betalar för oanvända licenser eller för höga licenskategorier.
  • Svårigheter med revision och intern kontroll – t.ex. brist på insyn i de behörigheter som beviljas gör det svårt att identifiera ansvariga personer, analysera loggar och verifiera efterlevnaden av säkerhetspolicyer.
  • Förlust av systemintegritet – till exempel kan felaktigt tilldelade tekniska behörigheter göra det möjligt att kringgå kontroller, vilket kan leda till obehöriga ändringar av konfiguration eller data.

Revision och efterlevnad av regelverk

Åtkomstkontroll i SAP gör att du kan uppfylla juridiska krav och branschkrav som RODO, SOX eller JSOX. Det ger en försäkran om att personuppgifter är skyddade och att finansiella processer är tillförlitliga och uppfyller kraven från externa revisorer.

Revisorns checklista

Under revisionen granskades aspekter av:

  • Policyer för att bevilja och återkalla åtkomst, inklusive överensstämmelse med begreppet auktorisation, affärsmässiga skyldigheter och principen om minsta möjliga privilegium.
  • Regelbunden omcertifiering av roller och användare, som utförs på cyklisk basis (t.ex. kvartalsvis eller halvårsvis) för att bekräfta giltigheten av de åtkomster som innehas.
  • Dokumentation av systemändringar och överensstämmelse medlivscykelprocessen för åtkomsthantering, inklusive acceptansvägar och registrering av beslut.
  • Åtkomstkontroll i nödsituationer (Firefighter / Privileged Access Management) – övervakning av beviljande, användning och avveckling av tillfälliga administrativa rättigheter.
  • Identifiering och hantering av inaktiva konton och roller som tilldelats utöver behov, inklusive automatisk upptäckt av användare som inte loggat in under en längre period.
  • Konflikter kring åtskillnad av arbetsuppgifter (SoD) – identifiering, motivering (begränsning) och införande av kompensationsmekanismer, t.ex. dubbla behörigheter eller ytterligare verksamhetskontroller.
  • Matchning av licenstyper och omfattningar till faktisk systemanvändning (t.ex. i samband med SAP FUE/PUPM eller Named User Licenses).
  • Korrekt hantering av scenarier förindirekt åtkomst/digital åtkomst, inklusive integration och systemanvändare.
  • Övervakning och loggning av känsliga aktiviteter samt cyklisk granskning av SoD-rapporter och tillgång till kritiska transaktioner.
  • Auktorisation i enlighet med lagstadgade krav (inklusive RODO/GDPR, SOX, J-SOX, ICFR, KRI), med beaktande av skyddet av personuppgifter och kontrollen av tillgång till konfidentiell information.
  • Regelbundna interna och externa revisioner (t.ex. ITGC, ISO 27001) för att kontrollera att processerna följs och att de genomförda kontrollerna är effektiva.
  • Övervakning av tekniska konton och integrationskonton, inklusive kontroll av deras användning och tilldelade rättigheter.
  • Få tillgång till riskrapportering och trendanalys för att identifiera områden för förbättringar eller ytterligare skyddsåtgärder.

GRC-verktygens roll

Manuell revision i ett komplext SAP-system är svårt och tidskrävande. Därför används GRC-klassade verktyg, t.ex:

SAP GRC Access Control – är en mogen SAP-lösning för hantering av behörigheter och SoD-risker (separation of duties) i on-premise-miljöer. Systemet möjliggör omfattande tilldelning av behörigheter, underhåll av SoD-matrisen, hantering av processer för användaruppdrag (Access Request Management) och analys av åtkomstrisker. I ett så kallat ”bridge”-scenario är det också möjligt att kombinera det lokala systemet med molnapplikationer, vilket ger en konsekvent åtkomsthantering i hybridmiljöer. SAP Access Control är den lösning som väljs i stora organisationer som använder SAP ERP- eller SAP S/4HANA-system i en lokal modell. De ger automatisk riskdetektering, kontinuerlig övervakning och snabb rapportförberedelse för revisorer. Dessa verktyg stöder revisioner genom att tillhandahålla realtidsdata, minska det manuella arbetet och möjliggöra presentation av bevis på efterlevnad i en transparent form.

SAP IAG (Identity Access Governance) – är enny SAP-lösning som är utformad för åtkomsthantering i molnmiljöer som SAP Concur, SAP SuccessFactors, SAP Ariba eller SAP S/4HANA Cloud. Systemet tillhandahåller central hantering av användarnas livscykel, SoD-riskanalys och processer för godkännande av åtkomst i en molnbaserad arkitektur. IAG är ett naturligt komplement eller en efterföljare till Access Control för organisationer som migrerar till SAP-molnet och behöver inbyggd integration med SaaS-applikationer, samtidigt som de upprätthåller efterlevnad av säkerhets- och revisionspolicyer.

SmartGRC
Detta är en alternativ lösning för att bevilja åtkomst, hantera SoD-riskdatabasen, övervaka användningen av breda och administrativa konton och stödja periodiska granskningar av rättigheter. Verktyget kan installeras lokalt eller användas i en molnbaserad prenumerationsmodell. SmartGRC integreras med SAP S/4HANA och kan anslutas till andra system – även utanför SAP:s ekosystem – via webbtjänster eller XML-filutbyte, med alla system som kan exportera behörighetsdata från databasen. På så sätt möjliggörs central hantering av åtkomstrisker i komplexa IT-miljöer som spänner över olika tekniker. SmartGRC utmärker sig genom sin korta implementeringstid, sitt intuitiva gränssnitt och sin flexibilitet att anpassa sig till organisationens behov.

GRC-klassade system har sådana funktioner:

Upptäcktsfunktion – GRC-system, som SAP GRC Access Control, gör det möjligt att upptäcka befintliga risker och avvikelser i behörighetssystemet. Analyserna kan omfatta:

  • Identifiering av SoD-konflikter (Segregation of Duties) – t.ex. en användare som har möjlighet att skapa en leverantör och utlösa en betalning (F110) samtidigt. En sådan konflikt innebär en potentiell bedrägeririsk.
  • Upptäckt av tillgång till kritiska transaktioner – t.ex. en användare med tillgång till SU01 (användarhantering) eller OB52 (ändring av redovisningsperioder), trots att han eller hon inte tillhör IT- eller redovisningsavdelningen.
  • Analys av inaktiva eller föråldrade användarkonton – t.ex. konton som inte har använts på 90 dagar men som fortfarande har aktiva roller tilldelade.
  • Upptäcka överflödiga roller och behörigheter – till exempel har en användare på inköpsavdelningen även roller från försäljning eller produktion som inte behövs för deras ansvarsområden.
  • Identifiering av så kallad nödåtkomst (Firefighter ID) som inte har redovisats på rätt sätt efter användning (ingen logg eller sessionsrapport).

Förebyggande funktion – GRC-system har också funktionen att förhindra att nya risker uppstår innan de når det producerande SAP-systemet. I detta avseende erbjuder SAP GRC Access Control bland annat:

  • Blockering av tilldelningen av roller som innehåller SoD-konflikter – t.ex. när man ansöker om en ny roll upptäcker systemet automatiskt att en användare redan har rättigheter att bokföra fakturor och inte kan beviljas åtkomst till att utlösa betalningar, eftersom dessa två åtkomster skapar en konflikt mellan arbetsfördelningen.
  • Arbetsflöde för godkännande av åtkomstförfrågningar (Access Request Management) – varje rollförfrågan måste godkännas av en arbetsledare och rollägaren, vilket säkerställer verksamhetskontroll och efterlevnad av reglerna för ansvarsfördelning.
  • Omcertifiering av roller och användare (Access Review / User Access Review) – periodiska kampanjer för granskning av behörigheter gör det möjligt för chefer att bekräfta att deras behörigheter är legitima, t.ex. var sjätte månad.
  • Kontroll redan när rollerna skapas – den inbyggda modulen för rollhantering analyserar de utformade rollerna med avseende på potentiella SoD-konflikter, redan innan de implementeras.
  • Emergency Access Management – beviljandet av tillfällig åtkomst till kritiska transaktioner registreras, kan valideras och en åtgärdsrapport genereras efter slutförandet, vilket minskar risken för missbruk

GRC-verktygen fungerar därför som ett säkerhetsfilter – dels upptäcker de omedelbart överträdelser, dels hjälper de till att förhindra dem genom att minska potentiella fel och missbruk redan innan de inträffar.

 

Sammanfattning

Åtkomstgranskning i SAP är en pågående process som bör kombinera säkerhetspolicyer med automatisering och regelbundna granskningar.

Effektiv kontroll vilar på två pelare:

  • upptäcktskontroller – rapporter, varningar, logganalys,
  • Förebyggande kontroller – regel om minsta rätt till ersättning, SoD-regler, automatisk blockering.

Detta tillvägagångssätt säkerställer datasäkerhet, efterlevnad av regelverk och full revisionsberedskap för organisationen.

PRODUKTY SmartGRC

Chcesz wiedzieć więcej? Skontaktuj się z nami.

Wypełnij poniższy formularz. Zwykle odpowiadamy w ciągu dwóch godzin.