SAP SOD-Prüfung mit dem „Access Security Observer“ (Software Kostenlos)

Sie haben richtig gelesen das AddOn ist Kostenlos.
Obelix würde sagen: Die spinnen die Schweizer
Der Access Security Observer (ASO) ist ein AddOn für SAP-Systeme.
Unser ASO stellt durch automatisierte Überwachung der definierten Access-, & Funktionstrennungs-(SoD) Risiken sicher, dass die Policies permanent eingehalten werden oder bei einem Verstoss beurteilt, dokumentiert und behandelt werden.
Unser ASO umfasst sowohl ein Standard-Risiko-Template als auch ein Extended-Risiko-Template.
Bereits das Standard-Template deckt die Vorgaben sowie die typischen Anforderungen einer Unternehmung ab.
Für die Nutzung vom ASO entstehen keine Lizenzkosten, ein Wartungsvertrag kann optional abgeschlossen werden.
Für die Nutzung der Templates verlangen wir einen kleinen Unkostenbeitrag und einen Wartungsvertrag kann optional abgeschlossen werden.
Die Implementierung kundenspezifischer Regeln und Risiken sind möglich und vorgesehen
ASO als Bestandteil unseres Information Security Managers
ASO ist eine selbstständige Business-Function in unserer Business-Solution „Information Security Manager (ISM)“.
Der ASO kann unabhängig oder integriert im Easy Access & Identity Manager (EAIM) genutzt werden.
ASO als Bestandteil unsers Easy AIM
Im Lifecycle der User gilt es sowohl potentielle als auch eingetretene Risiken zu überwachen.
Bei den potentiellen Risiken kann zwischen Funktionstrennung (Access Security / Segregation of Duties) und technischen Systemeinstellungen (System Security) unterscheiden werden.
Bei den tatsächlich eingetretenen Risiken werden alle relevanten Spuren überprüft, die durch die Nutzung der Applikation entstanden sind, um sicherzustellen, dass kein Missbrauch stattgefunden hat.
ASO Hauptfunktionen
Im ASO werden potentielle Access-Risiken geprüft.
ASO Kumulative Risiken (User-Risiken ->Personen Risiken)
Sobald eine Person mehr als 1 User benutzen kann (z.B. ERP-User, Portal-User, Support-User, etc.), gilt es die Risikobeurteilung für die Berechtigungsüberwachung zu kumulieren.
Um diese Kumulation zu ermöglichen, identifiziert unser ISM für jeden User eine Personen-ID.
Die Identifikation kann über verschiedene Methoden erfolgen:
- via die Informationen im SAP-HR (bei Mehrfachanstellungen)
- via Merkmale in den User-Stammsätzen
- etc.
Access Security Observer – Applikation
Regel Definition
Risiko Definition
Treffer-Visualisierung
Übersicht
Detail
Risiko (SoD) –Matrix – Prozess Beschaffung
Am Prozess Beschaffung wird hier der unterschiedliche Detailierungsgrad der Versionen aufgezeigt.
Der Prozess Beschaffung ist unterteilt in viele Teilschritte (Regeln).
Durch diese Vereinfachung werden die Regeln und auch die Risiken überschaubar, somit wird die Analyse der Risiken einfacher.
Jede Funktionstrennung, die überwacht werden soll, wurde als Risiko mit einer Nummerierung festgelegt.
Neuerungen in der Version 2018-01
- Workflowfunktionen aus ASO
Funktionstrennungskonflikte werden dem Risikoverantwortlichen gemeldet. - Verbesserte EAIM Integration:
Funktionstrennungskonflikte werden bereits beim Beantragen von neuen Berechtigungen festgestellt. - Mittigationen können für eine bestimmte Zeit vergeben werden. Nach Ablauf dieser Zeit, wird der Funktionstrennungskonflikt dem Risikoverantwortliche zur Bereinigung oder Mittigantion gemeldet.
Webinare
Sollten wir mit diesem Artikel Ihr Interesse zu mehr Informationen geweckt haben melden Sie sich doch auf unserer Webinar zu einem Webinar an.
cosol-Webinare
Weitere Infos unverbindlich anfordern