W przestrzeni działalności dużych przedsiębiorstw obowiązują restrykcyjne regulacje prawne, mające na celu ochronę udziałowców. Amerykańska ustawa Sarbannes-Oxley (SOX), japoński J-SOX, dyrektywy Parlamentu Europejskiego kierują uwagę kadry menedżerskiej na zagadnienia związane z szeroko pojętym ładem korporacyjnym. Przedsiębiorstwa przyjmują zestawy reguł w zakresie ryzyka, zgodności z przepisami oraz ładu korporacyjnego (z ang. GRC – Governance, Risk and Compliance).
Ze względu na złożoność tych reguł, pojawiła się potrzeba zaawansowanych narzędzi IT kontrolujących procesy biznesowe. Rozwiązania pakietu SAP BusinessObjects GRC oferują takie wsparcie, zapewniając przejrzystość procesów biznesowych i oferując pełną dokumentację działań. Jest to odpowiedź na typowe problemy z zakresu GRC:
- jak zapewnić prawidłowy rozdział obowiązków (ang. SoD – Segregation of Duties), wykrywać i eliminować związane z nim problemy?
- jak zapobiegać tworzeniu się nowych konfliktów podziału obowiązków?
- jak efektywnie definiować role użytkowników w systemie i nimi zarządzać?
- jak kontrolować dostęp użytkowników uprzywilejowanych?
- jak umożliwić właścicielom procesów biznesowych kontrolę dostępu użytkowników, nie wymagając od nich szerokiej wiedzy technicznej?
Część SAP GRC to rozwiązanie SAP Business Objects GRC Access Control, dostępne w najnowszej wersji 10.0. Oferuje ono obszerny zestaw narzędzi kontrolnych, które umożliwiają osobom odpowiedzialnym za zgodność z wymaganiami prawnymi, audytorom oraz kierownikom ds. bezpieczeństwa IT, wspólne definiowanie i aprobowanie właściwych reguł rozdziału obowiązków. Osoby te otrzymują również możliwość zarządzania rolami w organizacji, zapewnienia zgodności z przepisami oraz zarządzanie przywilejami administratorów.
SAP Business Objects GRC Access Control 10.0 składa się z czterech komponentów odpowiedzialnych za: zarządzanie procesem tworzenia ról, zarządzanie ryzykiem i dostępem oraz monitoring.
Główną zmianą w stosunku do poprzedniej wersji SAP GRC Access Control 5.3 jest przeniesienie rozwiązania z opartego na Javie na oparte na języku ABAP. Dzięki temu poprawiono zarządzanie zmianami przez wykorzystanie systemu transportowego SAP, usprawniono i ujednolicono zarządzanie uprawnieniami, ujednolicono również interfejs użytkownika.
Ponadto, w nowej wersji została wzbogacona i rozszerzona funkcjonalność rozwiązania. Poniżej przedstawiamy poszczególne komponenty pod kątem wprowadzonych zmian.
Centralized Emergency Access (d. Superuser Privilege Management)
W wyjątkowych lub krytycznych sytuacjach narzędzie to pozwala użytkownikowi na wykonanie działań nie zawartych w jego rolach, poprzez uprawnienia superużytkownika w kontrolowanym i audytowalnym środowisku. Komponent ten, oparty na pakiecie narzędzi Virsa, umożliwia scentralizowane zarządzanie dostępem superużytkowników, monitorowanie, dokumentację i analizę akcji w celu wykrycia i wyjaśnienia nieautoryzowanych działań.
W nowej wersji narzędzia do monitorowania superużytkowników zostały przeniesione na scentralizowany serwer GRC. Nie ma już potrzeby osobnej konfiguracji narzędzi na każdej instancji SAP. Dzięki temu można monitorować użytkowników z jednego systemu GRC i ujednolicić proces administracji.
Ponadto wprowadzono możliwość zarządzania superużytkownikami według poziomów krytyczności, poprawiono także logowanie ich aktywności. Zapisywanych jest więcej informacji, superużytkownicy mają teraz możliwość udokumentowania użycia nieplanowanych transakcji.
Analyze And Manage Access Risk (d.Risk Analysis and Remediation)
To oparte na regułach zautomatyzowane narzędzie do audytowania uprawnień i wykrywania konfliktów SoD. Pozwala na analizę ryzyka, zarządzanie reakcjami na ryzyko oraz stałe jego monitorowanie i raportowanie.
W wersji 10.0 poprawiono elastyczność raportowania – można filtrować, zapisywać i uruchamiać wiele analiz jednocześnie, np. według działań użytkowników (na poziomie transakcji) i według uprawnień (na poziomie obiektów autoryzacji). W poprzedniej wersji użytkownik ograniczony był tylko do jednej opcji podczas uruchamiania analizy.
Provision and Manage Users (d. Compliant User Provisioning)
Moduł ten pozwala na zgodne z ładem korporacyjnym zarządzanie dostępem użytkowników na wszystkich systemach. Zawiera on samoobsługowy portal do wnioskowania o rozszerzenie uprawnień, pozwala na zautomatyzowanie procesu przeglądu, akceptacji i implementacji wnioskowanych uprawnień.
W najnowszej wersji zarządzanie dostępem użytkowników zostało upodobnione do zarządzania danymi podstawowymi użytkownika. Dużym usprawnieniem jest możliwość użycia MSMP (multistage and multipath) workflow do zarządzania wnioskami użytkowników.
Design And Manage Roles (d.Enterprise Role Management)
Komponent ten automatyzuje tworzenie i zarządzanie rolami, pozwalając na ich administrację z centralnego repozytorium. Role mogą być dokumentowane, projektowane, analizowane, akceptowane i automatycznie generowane.
Nowością jest wprowadzona dla użytkowników biznesowych możliwość przeglądu „roli biznesowej”. Taki przegląd zawiera powiązania ról technicznych z funkcjami i pozycjami biznesowymi, ułatwiając użytkownikowi zrozumienie, jakie uprawnienia zawiera dana rola.
Wprowadzono dodatkowo możliwość analizy wpływu nowych uprawnień na obecne uprawnienia użytkownika (impact analysis). Został poprawiony proces certyfikacji uprawnień. Właściciele ról mogą okresowo przeglądać i potwierdzać ich zawartość (np. na poziomie transakcji) poprzez workflow, a po zakończeniu procesu certyfikacji, tworzony jest na bieżąco log zmian w rolach.
SAP Business Objects GRC Access Control 10.0 stanowi duże usprawnienie w stosunku do poprzedniej wersji SAP GRC Access Control 5.3. Migracja do środowiska ABAP i centralizacja znacznie zwiększają możliwości użytkowania i rozwoju tego narzędzia w stosunku do starszego pakietu. Wprowadzony szereg usprawnień sprawia, że warto zastanowić się nad jego wdrożeniem w celu zapewnienia sprawnego zarządzania ryzykiem oraz ładem korporacyjnym.
BCC (aktualnie All for One Poland) świadczy usługi doradztwa informatycznego w zakresie ładu korporacyjnego, audytów wewnętrznych, poprawy efektywności IT dzięki wykorzystaniu standardów ITIL, zintegrowanego zarządzania ryzykiem GRC. Firma oferuje usługi wdrożenia i przygotowania do procesu certyfikacji systemów zarządzania bezpieczeństwem informacji zgodnych z normą ISO/IEC 27001, systemów zarządzania usługami IT wg ISO/IEC 20000, wsparcia w budowie strategii ciągłości działania wg BS 25999, TOGAF oraz COBIT. Adresatem tej oferty BCC są duże firmy i organizacje posiadające złożoną infrastrukturę IT, zorientowane na optymalizację zarządzania usługami i zasobami IT.