Att implementera även den mest komplexa SOD-matrisen, eller segregation of duties, kan ta bara några minuter om du har rätt verktyg. Effektiv SOD-hantering är grunden för IT-säkerheten i alla företag. Låt oss se hur man professionellt implementerar en sådan matris i smartGRC, en lösning som utmärker sig för sin snabbhet och anpassningsbarhet.
I den förra artikeln i den här serien presenterade vi implementeringen i SAP GRC AC. Idag går vi ett steg längre genom att visa hur man implementerar samma sak i smartGRC. Själva matrisberedningslogiken förblir oförändrad, så det är värt att titta på dess implementering i praktiken.
När du har loggat in i smartGRC är det första steget att interagera med SOD-matrisen. I smartSOD-modulen, som är rik på funktioner, är en nyckelfunktion listan över risker, som visar vår SOD-matris kopplad till specifika risker.
Varje risk kännetecknas av: namn (ofta numrerat), processinbäddning, nivå, beskrivning och tillhörande affärsaktiviteter.
Systemet skiljer mellan två huvudtyper av risker: Känslig åtkomst, som är en enda åtkomst till en aktivitet som utgör en risk (t.ex. prisändring), och åtskillnad av arbetsuppgifter, som är en kombination av två eller flera aktiviteter (t.ex. lager och kundhantering).
För varje risk kan en nivå definieras, en beskrivning läggas till och en ägare tilldelas, med hänsyn tagen till organisationsstrukturer. Den sistnämnda funktionen är ovärderlig i större organisationer, där ansvaret för riskerna kan ligga på olika länder eller företag.
Viktiga steg i implementeringen av SOD-matrisen i smartGRC
För att kunna implementera SOD-matrisen i smartGRC på rätt sätt måste flera viktiga steg följas:
Först definierar vi processerna genom att mata in information om affärsprocesserna och ange deras ägare – ett enkelt steg som utförs via systemets gränssnitt.
Vi definierar sedan grupper av aktiviteter, som vi aggregerar för att underlätta arbetet med matrisen. Det är på gruppnivå som riskworkshopen diskuterar (t.ex. kundmasterdata, redovisning), vilket gör hela processen mycket mer effektiv.
Nästa steg är att definiera en lista med aktiviteter, där vi tilldelar specifika aktiviteter till varje grupp. Till exempel kan ”postning” omfatta postningar i olika moduler i systemet.
Den tekniska definitionen av aktiviteter är också viktig, vilket innebär att affärsaktiviteter mappas till behörighetsobjekt i systemet.
Det sista steget är import av data. För att påskynda implementeringen tillåter smartGRC import från en Excel-fil i ett specifikt format, vilket gör att processer, aktiviteter och definitioner snabbt kan föras in i systemet.
Systemet ger också möjlighet att utesluta grupper av användare (t.ex. konsulter, administratörer) från riskrapporter, eftersom de har breda rättigheter som standard. Kompenserande kontroller kan också definieras för identifierade risker.
smartGRC utmärker sig genom att inte bara stödja SAP-system, utan i stort sett alla IT-system. SmartSOD-modulen gör det möjligt att definiera behörigheter för olika lösningar och automatiskt mata in data från varje anslutet system.
Konfigurationen av en affärsaktivitet i SmartSOD börjar med definitionen av en variant, dvs. en fullständig definition av hur aktiviteten kan utföras. Eftersom en aktivitet kan utföras på många olika sätt tillåter systemet att olika varianter införs.
Vi anger också i vilket system åtgärden kan utföras och definierar sedan behörighetsobjekt med fält och värden.
Processen för icke-SAP-system ser likadan ut, men i stället för behörighetsobjekt använder vi en XML-baserad struktur som definierar atomer (direktåtkomst till funktioner) eller kompositer (sammansättningar av atomer).
Att mappa affärsaktiviteter till auktorisationsobjekt är avgörande när SOD-matrisen ska implementeras. I smartGRC presenteras denna process i ett trädformat för enkel förståelse och navigering.
För SAP-system erbjuder smartGRC fördefinierade matriser och mappning till standardtransaktioner och behörighetsobjekt. För andra system gör lösningen det möjligt att definiera egna strukturer via mallar och gränssnitt som utbyter data i XML.
Riskrapportering i smartGRC
När affärsaktiviteterna har kartlagts följer riskrapporteringen. smartGRC hämtar data från alla system (CSV, TXT, XML) och har inbyggda anslutningar för SAP- och Active Directory-system. Nedladdningen kombinerar data med den tekniska kartläggningen av matrisen och presenterar den i rapporter.
En av de mest imponerande funktionerna i smartGRC är analyshastigheten. Det tar bara några sekunder att sammanställa rapporter från ett dussintal system för många tusen användare, vilket gör den här lösningen till en av de snabbaste på marknaden.
Systemet erbjuder en mängd olika rapporter som är anpassade till olika målgruppers behov: affärsrapporter (risker, nivå, beskrivning, ägare) och rapporter för administratörer, med fokus på tekniska frågor som objekt och roller som orsakar risker.
I huvudvyn i SmartReport kan du se en sammanfattning av risker i olika vyer: per system, månad, dag, per användare eller roll. Du kan också filtrera data efter organisationsstruktur.
Detaljerade rapporter finns också tillgängliga, t.ex. om en aktivitet är genomförbar, skälen till att en aktivitet tilldelats en användare, en transaktionskodsrapport och valideringsrapporter för att kontrollera att SOD-matrisen är korrekt.
Systemet möjliggör också dataexport till Excel- och PDF-format samt integration med analysverktyg och säkerhetsövervakningssystem av SIEM-klass.
smartGRC utmärker sig genom sin flexibilitet och mångsidighet och stöder inte bara SAP-system utan i stort sett alla IT-system, vilket är ovanligt bland GRC-produkter.
Med möjlighet att definiera anpassade strukturer och importera data från en mängd olika källor kan smartGRC användas av organisationer av alla storlekar och komplexiteter. Det stöder effektivt riskhantering genom att hjälpa till att identifiera auktoritetskonflikter och fatta beslut om att acceptera eller minimera dem.
