BLOG

SAP Access Audit – nyckeln till säkerhet och efterlevnad

Uppdatering 29 september

SAP Access Audit – nyckeln till säkerhet och efterlevnad

Varför är auktorisationer så viktiga?

I SAP börjar varje åtkomst med auktorisering: användare → roll → behörigheter → transaktioner/applikationer/auktoriseringsobjekt. Det avgör vem som kan skapa ett dokument, ändra data, godkänna en betalning eller öppna en redovisningsperiod. Om behörighetssystemet är korrekt utformat och underhållet fungerar SAP säkert, effektivt och i enlighet med gällande regler.
Men om det inte finns något enhetligt koncept eller någon enhetlig kontroll uppstår säkerhetsluckor som kan leda till missbruk, fel eller bristande efterlevnad av revisionskrav.

Behörighetsstrukturen i SAP är flerskiktad och begränsad på applikations-, transaktions-, objekt- och fältvärdesnivå. Detta beror naturligtvis på hur processer och affärskoncept ser ut, och även på hur teamen arbetar. Detta har praktiska konsekvenser: utan konsekventa regler och ständig kontroll är det lätt att hamna i redundant åtkomst, dubbla roller och SoD-konflikter som är svåra att upptäcka ”med ögat”.

Trygghet och ordning i rollerna

Väl utformade roller stärker den finansiella kontrollen, minskar missbruk och fel och påskyndar samtidigt revisioner. Ordning och reda i behörigheterna innebär också lägre kostnader: färre dyra ”för säkerhets skull”-licenser, enklare migreringar (t.ex. till S/4HANA) och effektivare uppdateringar. Genom att granska användarnas behörigheter och åtkomst verifierar man att användarna har exakt de behörigheter som de faktiskt behöver för att utföra sina arbetsuppgifter. Syftet med revisionen är att säkerställa efterlevnad av säkerhetsregler, lagbestämmelser och interna företagspolicyer.

Granskningen analyserar bland annat:

– Rollernas överensstämmelse med säkerhetspolicyn och principen om minsta möjliga privilegium – om användaren endast har de behörigheter som krävs för att utföra sitt arbete.

– Förekomsten av SoD-konflikter (Segregation of Duties) – t.ex. fall där en person både kan skapa en leverantör och godkänna en betalning.

– Överflödiga, oanvända eller föråldrade behörigheter – t.ex. roller som tilldelats för länge sedan och som inte längre behövs eller som inte har använts på länge.

– Processer för hantering av användarnas livscykel (Joiner-Mover-Leaver) – om åtkomst beviljas nyanställda på ett kontrollerat sätt, uppdateras när de byter tjänst och återkallas när de lämnar företaget.

– Förberedelser inför interna och externa revisioner – t.ex. efterlevnad av revisionskrav enligt ITGC, SOX, GDPR eller ISO 27001 och fullständig dokumentation av åtkomstgodkännande.

– Tillträde i nödsituationer (Firefighter/Emergency Access) – om det redovisas och övervakas på rätt sätt efter användning.

– Tekniska användare och systemanvändare – har de lämpliga behörigheter och loggas och övervakas deras åtgärder på rätt sätt?

Risker till följd av okontrollerad åtkomst

Alltför breda eller dåligt tilldelade behörigheter kan leda till:

  • Ekonomiskt missbruk t.ex. att en anställd med tillgång till redovisningssystemet kan godkänna sina egna fakturor, skapa fiktiva uppdragstagare eller självständigt initiera och godkänna överföringar.
  • Dataläckage – t.ex. administratörer med obegränsade behörigheter som kopierar kunddatabaser till externa medier eller privata moln, vilket kan leda till att konfidentiell information och kundernas förtroende går förlorat.
  • Operativa fel – t.ex. att en användare med tillgång till produktionssystemets konfiguration av misstag raderar eller ändrar kritiska data, vilket orsakar driftstopp eller felaktiga affärsprocesser.
  • Kostnader och påföljder till följd av bristande efterlevnad – t.ex. bristande kontroll över behörigheter leder till överträdelser av regelverk (GDPR, SOX, ISO 27001), vilket kan leda till ekonomiska påföljder, förlust av certifiering eller skada på organisationens rykte.
  • Onödiga licenskostnader – t.ex. att användare har tillgång till moduler och applikationer som de aldrig använder, vilket leder till att företaget betalar för oanvända licenser eller för höga licenskategorier.
  • Svårigheter med revision och intern kontroll – t.ex. gör bristande insyn i tilldelade behörigheter det svårt att identifiera ansvariga personer, analysera loggar och verifiera efterlevnaden av säkerhetspolicyer.
  • Förlust av systemintegritet – t.ex. felaktigt tilldelade tekniska behörigheter gör det möjligt att kringgå kontrollmekanismer, vilket kan leda till obehörig konfiguration eller dataförändringar.

Revision och efterlevnad av regelverk

Åtkomstkontroll i SAP gör att du kan uppfylla juridiska krav och branschkrav som GDPR, SOX och JSOX. Det säkerställer att personuppgifter skyddas och att finansiella processer är tillförlitliga och uppfyller kraven från externa revisorer.

Revisorns checklista

Under granskningen analyseras bland annat följande aspekter:

  • Policyer för beviljande och återkallande av åtkomst, inklusive efterlevnad av auktoriseringskonceptet, affärsansvar och principen om minsta möjliga privilegium (beviljande av minsta möjliga nödvändiga behörigheter).
  • Regelbunden omcertifiering av roller och användare, som utförs med jämna mellanrum (t.ex. kvartalsvis eller halvårsvis) för att bekräfta giltigheten av åtkomsträttigheter.
  • Dokumentation av ändringar i systemet och efterlevnad av processen för åtkomsthantering(Access Management Lifecycle), inklusive godkännandevägar och loggning av beslut.
  • Åtkomstkontroll i nödsituationer (Firefighter / Privileged Access Management) – övervakning av beviljande, användning och redovisning av tillfälliga administrativa behörigheter.
  • Identifiering och hantering av inaktiva konton och roller som tilldelats utan anledning, inklusive automatisk upptäckt av användare som inte har loggat in under en längre period.
  • Konflikter kring åtskillnad av arbetsuppgifter (SoD) – identifiering, motivering (begränsning) och införande av kompensationsmekanismer, t.ex. dubbla behörigheter eller ytterligare verksamhetskontroller.
  • Matchning av licenstyper och omfattningar till faktisk systemanvändning (t.ex. i samband med SAP FUE/PUPM eller Named User Licenses).
  • Korrekt hantering av scenarier med indirekt tillgång/digital tillgång, inklusive integration och systemanvändare.
  • Övervakning och loggning av känsliga aktiviteter samt periodisk granskning av SoD-rapporter och tillgång till kritiska transaktioner.
  • Att behörigheterna uppfyller lagstadgade krav (inklusive GDPR, SOX, J-SOX, ICFR, KRI), med beaktande av skyddet av personuppgifter och kontroll av åtkomst till konfidentiell information.
  • Regelbundna interna och externa revisioner (t.ex. ITGC, ISO 27001) för att verifiera processefterlevnad och effektiviteten i implementerade kontroller.
  • Övervakning av tekniska konton och integrationskonton, inklusive kontroll av deras användning och tilldelade behörigheter.
  • Rapportering och analys av trender för tillträdesrisker för att identifiera områden som kräver förbättringar eller ytterligare säkerhetsåtgärder.

GRC-verktygens roll

Manuell revision i ett komplext SAP-system är svårt och tidskrävande. Det är därför GRC-verktyg används, t.ex:

SAP GRC Access Control – en mogen SAP-lösning för hantering av behörigheter och risk för åtskillnad av arbetsuppgifter (SoD) i lokala miljöer. Systemet möjliggör omfattande tilldelning av behörigheter, underhåll av SoD-matrisen, stöd för processer för användartilldelning (Access Request Management) och analys av åtkomstrisker. I det så kallade ”bridge”-scenariot är det också möjligt att ansluta det lokala systemet till molnapplikationer, vilket säkerställer konsekvent åtkomsthantering i hybridmiljöer. SAP Access Control är den mest populära lösningen i stora organisationer som använder SAP ERP- eller SAP S/4HANA-system i en lokal modell. De möjliggör automatisk riskdetektering, kontinuerlig övervakning och snabb förberedelse av rapporter för revisorer. Dessa verktyg stöder revisioner genom att tillhandahålla realtidsdata, minska det manuella arbetet och möjliggöra presentation av efterlevnadsbevis i en transparent form.

SAP IAG (Identity Access Governance) är en ny SAP-lösning som är utformad för åtkomsthantering i molnmiljöer som SAP Concur, SAP SuccessFactors, SAP Ariba och SAP S/4HANA Cloud. Systemet tillhandahåller centraliserad hantering av användarnas livscykel, SoD-riskanalys och processer för godkännande av åtkomst i en molnbaserad arkitektur. IAG är ett naturligt komplement eller efterföljare till Access Control i organisationer som migrerar till SAP-molnet och behöver inbyggd integration med SaaS-applikationer samtidigt som de upprätthåller efterlevnad av säkerhets- och revisionspolicyer.

SmartGRC
Detta är en alternativ lösning för att bevilja åtkomst, hantera SoD-riskdatabasen, övervaka användningen av breda och administrativa konton samt stödja periodiska behörighetsgranskningar. Verktyget kan installeras lokalt eller användas i en molnbaserad prenumerationsmodell. SmartGRC integreras med SAP S/4HANA och kan anslutas till andra system, även utanför SAP:s ekosystem, via webbtjänster eller XML-filutbyte, med alla system som kan exportera behörighetsdata från en databas. Detta möjliggör centraliserad hantering av åtkomstrisker i komplexa IT-miljöer som involverar olika tekniker. SmartGRC utmärker sig genom sin korta implementeringstid, sitt intuitiva gränssnitt och sin flexibilitet när det gäller att anpassa sig till organisationens behov.

GRC-system har följande funktioner:

Upptäcktsfunktion – GRC-system, som SAP GRC Access Control, gör det möjligt att upptäcka befintliga risker och oegentligheter i behörighetssystemet. Analyser kan inkludera:

  • Identifiering av SoD-konflikter (Segregation of Duties) – t.ex. en användare som har möjlighet att skapa en leverantör och initiera en betalning (F110) på samma gång. En sådan konflikt utgör en potentiell risk för ekonomiskt missbruk.
  • Upptäckt av tillgång till kritiska transaktioner – t.ex. en användare som har tillgång till SU01 (användarhantering) eller OB52 (ändring av redovisningsperioder), trots att de inte tillhör IT- eller ekonomiavdelningen.
  • Analys av inaktiva eller föråldrade användarkonton – t.ex. konton som inte har använts på 90 dagar men som fortfarande har aktiva roller tilldelade.
  • Upptäckt av överflödiga roller och behörigheter – t.ex. om en användare på inköpsavdelningen också har roller inom försäljning eller produktion som inte är nödvändiga för deras arbetsuppgifter.
  • Identifiering av så kallad nödåtkomst (Firefighter ID) som inte har redovisats korrekt efter användning (ingen logg eller sessionsrapport).

Förebyggande funktion – GRC-system används också för att förhindra att nya risker uppstår innan de når det producerande SAP-systemet. I detta avseende erbjuder SAP GRC Access Control bland annat:

  • Blockering av tilldelning av roller som innehåller SoD-konflikter – t.ex. när man ansöker om en ny roll upptäcker systemet automatiskt att användaren redan har konteringsrättigheter för fakturor och inte kan beviljas åtkomst för att initiera betalningar, eftersom dessa två åtkomster skapar en konflikt om åtskillnad av arbetsuppgifter.
  • Arbetsflöde för godkännande av åtkomstförfrågningar (Access Request Management) – varje rollförfrågan måste godkännas av arbetsledaren och rollägaren, vilket säkerställer verksamhetskontroll och efterlevnad av reglerna för ansvarsfördelning.
  • Omcertifiering av roller och användare (Access Review / User Access Review) – periodiska kampanjer för granskning av behörigheter gör det möjligt för chefer att bekräfta giltigheten av åtkomsträttigheter, t.ex. var sjätte månad.
  • Kontroll vid skapandet av roller – den inbyggda modulen för rollhantering analyserar utformade roller med avseende på potentiella SoD-konflikter innan de implementeras.
  • Emergency Access Management – tillfällig åtkomst till kritiska transaktioner loggas, kan godkännas och en rapport över de åtgärder som utförts genereras efter att arbetet slutförts, vilket minskar risken för missbruk.

GRC-verktyg fungerar därför som ett säkerhetsfilter – å ena sidan säkerställer de att överträdelser upptäcks omedelbart och å andra sidan hjälper de till att förhindra dem genom att minska antalet potentiella fel och missbruk innan de inträffar.

 

Sammanfattning

Granskning av SAP-åtkomst är en kontinuerlig process som bör kombinera säkerhetspolicyer med automatisering och regelbundna granskningar.

En effektiv kontroll bygger på två pelare:

  • upptäcktskontroller – rapporter, varningar, logganalys,
  • Förebyggande kontroller – principen om minsta möjliga behörighet, SoD-regler, automatiska lås.

Detta tillvägagångssätt säkerställer datasäkerhet, efterlevnad av regelverk och fullständig revisionsberedskap för organisationen.

PRODUKTY SmartGRC

Chcesz wiedzieć więcej? Skontaktuj się z nami.

Wypełnij poniższy formularz. Zwykle odpowiadamy w ciągu dwóch godzin.