Visste du att ineffektiv rättighetshantering i ERP-system kan stå dig dyrt? Ditt företag kan gå miste om tusentals timmar av kvalificerat arbete på grund av detta. Det här problemet drabbar många stora organisationer, men lyckligtvis finns det en enklare lösning än du kanske tror. I den här artikeln går vi därför igenom hur man effektivt genomför rättighetsgranskningar, varför det är en affärsuppgift snarare än en rent teknisk uppgift och ger dig tips om hur du undviker vanliga misstag i behörighetshanteringen.
Janeks berättelse: Hur en anställd kan bli en ”gruva” av riskfyllda rättigheter
Föreställ dig ett modernt, grönt företag med internationell räckvidd. Janek börjar på logistikavdelningen och får grundläggande rättigheter i SAP-systemet för att lägga in leverantörsdata och göra beställningar.
Efter ett år klättrar Janek på karriärstegen och blir befordrad till säljare. I och med sin nya roll får han ytterligare befogenheter, den här gången relaterade till försäljning. Några år senare blir han försäljningschef, vilket ger honom ännu mer tillgång till systemet. Men frågan uppstår: vad händer med hans tidigare rättigheter från logistikavdelningen? I de flesta fall förblir de aktiva eftersom ingen kom på tanken att ta bort dem eller för att man hävdade att de kunde ”hjälpa kollegorna på avdelningen”.
Ett sådant scenario, som upprepats under flera år och med flera anställda, innebär allvarliga säkerhetsrisker för företaget. En försäljningschef, som fortfarande har logistiska befogenheter, kan utföra åtgärder som bryter mot principen om åtskillnad av arbetsuppgifter (SOD), t.ex. ändra leverantörsdata och godkänna betalningar själv.
Effektiv hantering av rättigheternas livscykel – nyckeln till organisatorisk säkerhet
Behörighetshantering är en process som omfattar hela livscykeln för åtkomst – från det att den beviljas, genom eventuella ändringar, till det slutliga tillbakadragandet. Det inledande skedet, dvs. beviljandet av rättigheter, är vanligtvis välorganiserat – den anställde begär själv den åtkomst som behövs för att utföra sina arbetsuppgifter. Tyvärr förblir de efterföljande faserna i cykeln mycket ofta försummade.
Mogna organisationer har redan implementerat processer som bygger på riskanalys och automatiserade arbetsflöden. Besluten godkänns av affärscheferna och behörigheterna tilldelas automatiskt i systemen. Tyvärr är det fortfarande ovanligt med lika sofistikerade processer för att granska och återkalla rättigheter.
För att effektivt hantera rättighetens livscykel är det viktigt att:
- En exakt definition av roller och ansvarsområden,
- Automatisering av processer som rör beviljande och återkallande av rättigheter,
- regelbundet genomföra granskningar med fokus på riskidentifiering,
- övervaka graden av utnyttjande av dess befogenheter,
- implementera lämpliga verktyg för att stödja hela processen.
Behörighetsgranskning – affärsansvar, inte bara IT
Ett vanligt misstag är att se rättighetshanteringen som en exklusiv angelägenhet för IT-avdelningen. I själva verket är det verksamheten som utformar processerna och ansvarar för de olika stegen och kontrollpunkterna.
IT-personal kan administrera de tekniska aspekterna, men det är beslutsfattarna som känner till affärsprocesserna som ska avgöra vem som har tillgång till vissa uppgifter och funktioner. Det är bara de som kan bedöma om de aktuella rättigheterna fortfarande behövs av den anställde, om de utgör en potentiell risk och om de är förenliga med principen om minsta möjliga privilegium.
Problemet ligger ofta i hur IT presenterar behörigheter – som koder och rollnamn som är obegripliga för verksamheten och som inte kan översättas till specifika operationer. Det är svårt att förvänta sig att en försäljningschef ska förstå vad rollen ”Z1000_LOGISTICS” innebär och vilka risker som är förknippade med att en underordnad har den.
”Syndromet med den som samlar på rättigheter” – hur man undviker onödig tillgång till system
Janek är ett typiskt exempel på en ”rättighetssamlare”. Allt eftersom hans karriär fortskrider samlar han på sig fler och fler behörigheter utan att göra sig av med de tidigare. Detta fenomen, som förekommer i nästan alla organisationer, utgör en allvarlig säkerhetsrisk.
För att förhindra detta syndrom krävs regelbundna och intelligenta granskningar av behörigheter. I stället för att analysera alla detaljerade behörigheter (vilket skulle vara ineffektivt) bör fokus ligga på känsliga funktioner och potentiella risker.
Det är också viktigt att kontrollera om ersättningarna i fråga överhuvudtaget används. Experternas erfarenhet visar att överflödiga rättigheter ofta förblir oanvända i ett år eller mer. Sådana inaktiva rättigheter bör tas bort som en prioritet.
Fem kardinalmisstag i processen för prövning av anspråk
Genom att analysera erfarenheter från olika projekt kan man identifiera fem vanliga misstag i processen för granskning av rättigheter:
- att betrakta granskningen som en ren IT-uppgift – som redan nämnts bör beslut om rättigheter vara verksamhetens ansvar,
- granska alla behörigheter i stället för att fokusera på potentiella hot – att analysera hundratals detaljerade behörigheter för varje användare är ineffektivt och avskräcker företagare,
- presentera behörigheter på ett tekniskt språk – chefer behöver information om vilka affärsåtgärder en användare kan utföra, inte vilka tekniska behörighetskoder de har,
- Brist på information om den faktiska användningen av befogenheten – om man vet om en befogenhet har använts är det betydligt lättare att besluta om den ska hållas inne eller återkallas,
- Manuell förberedelse av data för granskning – i stora organisationer kan detta ta veckor och vara föremål för många fel.
Granskning av rättigheter i praktiken: från grunderna till avancerade lösningar
En effektiv behörighetsgranskning bör fokusera på affärsrisker snarare än teknikaliteter. I stället för att presentera en lista över roller och behörigheter för företagare bör de potentiella riskerna med anställdas åtkomst visas.
Istället för att kommunicera att ”Janek har rollen Z1000_LOGISTICS” är det till exempel bättre att kommunicera att ”Janek, som försäljningschef, kan utföra kritiska lageroperationer, till exempel inventering eller lageruttag, vilket skapar en risk för bedrägeri”.
Det är också bra att lämna information om den faktiska användningen av rättigheterna – om den anställde faktiskt har använt funktionerna i fråga nyligen. Oanvända rättigheter är vanligtvis en bra kandidat för borttagning.
I stora organisationer är det praktiskt taget omöjligt att granska rättigheter utan rätt verktyg. Specialiserade GRC-system (Governance, Risk and Compliance) kan effektivisera hela processen genom att automatisera dataframställningen, presentera rättigheter på ett sätt som verksamheten kan förstå och dokumentera beslut för revisioner.
Har du full koll på dina medarbetares rättigheter i ERP-systemen?
Många organisationer är inte helt medvetna om vilka olika behörigheter som anställda har i affärssystem och andra viktiga applikationer. Situationen kompliceras av att behörigheter kan ges på olika nivåer – direkt, via roller, grupper eller profiler.
En analogi kan vara situationen med dörrnycklar: vad hjälper det oss att ta reda på vem som har en särskild nyckel till arkivet om medarbetarna en gång fick universalnycklar som passar alla lås? Resultatet kan bli att många medarbetare har tillgång till känsliga områden, trots att de officiellt inte borde ha det.
En omfattande behörighetsgranskning bör omfatta alla möjliga åtkomstvägar och potentiella säkerhetslösningar. Endast då kan du vara säker på att principen om minsta möjliga preferens verkligen respekteras.
Behörigheter i ERP-system: hur man förvandlar en tidskrävande process till ett effektivt säkerhetsverktyg
En behörighetsgranskning behöver inte vara en betungande syssla som tar värdefull arbetstid i anspråk. Med rätt tillvägagångssätt och val av verktyg kan det bli ett effektivt sätt att stärka företagets säkerhet och säkerställa regelefterlevnad.
De viktigaste inslagen i ett sådant tillvägagångssätt är:
- fokusera på affärsrisker snarare än tekniska detaljer,
- presentera rättigheter på ett språk som är begripligt för företagen,
- tillhandahålla information om det faktiska utnyttjandet av utsläppsrätter,
- automatisering av dataförberedelser för granskning,
- användning av lämpliga verktyg för att stödja hela processen.
En väl genomtänkt process, med stöd av rätt verktyg, gör rättighetsgranskningen snabbare och effektivare. Med en sådan modell kan organisationen fokusera på att identifiera och minska de verkliga riskerna för åtkomst i stället för att lägga hundratals timmar på manuell analys.
