SAP SOD-Prüfung mit dem „Access Security Observer“ (Software Kostenlos)

Posted on by Heini Schmid

Related Post

Sie haben richtig gelesen das AddOn ist Kostenlos.

Obelix würde sagen: Die spinnen die Schweizer

 

Der Access Security Observer (ASO) ist ein AddOn für SAP-Systeme.

Unser ASO stellt durch automatisierte Überwachung der definierten Access-, & Funktionstrennungs-(SoD) Risiken sicher, dass die Policies permanent eingehalten werden oder bei einem Verstoss beurteilt, dokumentiert und behandelt werden.

 

Unser ASO umfasst sowohl ein Standard-Risiko-Template als auch ein Extended-Risiko-Template.

 

Bereits das Standard-Template deckt die Vorgaben sowie die typischen Anforderungen einer Unternehmung ab.

Für die Nutzung vom ASO entstehen keine Lizenzkosten, ein Wartungsvertrag kann optional abgeschlossen werden.

Für die Nutzung der Templates verlangen wir einen kleinen Unkostenbeitrag und einen Wartungsvertrag kann optional abgeschlossen werden.

Die Implementierung kundenspezifischer Regeln und Risiken sind möglich und vorgesehen

 

ASO als Bestandteil unseres Information Security Managers

ASO ist eine selbstständige Business-Function in unserer Business-Solution „Information Security Manager (ISM)“.

Der ASO kann unabhängig oder integriert im Easy Access & Identity Manager (EAIM) genutzt werden.

ASO als Bestandteil unsers Easy AIM

Im Lifecycle der User gilt es sowohl potentielle als auch eingetretene Risiken zu überwachen.

Bei den potentiellen Risiken kann zwischen Funktionstrennung (Access Security / Segregation of Duties) und technischen Systemeinstellungen (System Security) unterscheiden werden.

Bei den tatsächlich eingetretenen Risiken werden alle relevanten Spuren überprüft, die durch die Nutzung der Applikation entstanden sind, um sicherzustellen, dass kein Missbrauch stattgefunden hat.

 

ASO Hauptfunktionen

Im ASO werden potentielle Access-Risiken geprüft.

 

 

ASO Kumulative Risiken (User-Risiken ->Personen Risiken)

Sobald eine Person mehr als 1 User benutzen kann (z.B. ERP-User, Portal-User, Support-User, etc.), gilt es die Risikobeurteilung für die Berechtigungsüberwachung zu kumulieren.

Um diese Kumulation zu ermöglichen, identifiziert unser ISM für jeden User eine Personen-ID.

Die Identifikation kann über verschiedene Methoden erfolgen:

  • via die Informationen im SAP-HR (bei Mehrfachanstellungen)
  • via Merkmale in den User-Stammsätzen
  • etc.

Access Security Observer – Applikation

 Regel Definition

Risiko Definition

 

Treffer-Visualisierung

Übersicht

Detail

 

Risiko (SoD) –Matrix – Prozess Beschaffung

Am Prozess Beschaffung wird hier der unterschiedliche Detailierungsgrad der Versionen aufgezeigt.

Der Prozess Beschaffung ist unterteilt in viele Teilschritte (Regeln).
Durch diese Vereinfachung werden die Regeln und auch die Risiken überschaubar, somit wird die Analyse der Risiken einfacher.

Jede Funktionstrennung, die überwacht werden soll, wurde als Risiko mit einer Nummerierung festgelegt.

  

Neuerungen in der Version 2018-01

  • Workflowfunktionen aus ASO
    Funktionstrennungskonflikte werden dem Risikoverantwortlichen gemeldet.
  • Verbesserte EAIM Integration:
    Funktionstrennungskonflikte werden bereits beim Beantragen von neuen Berechtigungen festgestellt.
  • Mittigationen können für eine bestimmte Zeit vergeben werden. Nach Ablauf dieser Zeit, wird der Funktionstrennungskonflikt dem Risikoverantwortliche zur Bereinigung oder Mittigantion gemeldet.

 

Webinare

Sollten wir mit diesem Artikel Ihr Interesse zu mehr Informationen geweckt haben melden Sie sich doch auf unserer Webinar zu einem Webinar an.

cosol-Webinare

 

Weitere Infos unverbindlich anfordern

    [recaptcha]

     

    Letzte Artikel von Heini Schmid (Alle anzeigen)