SAP FORUM İSTANBUL 2014 Basit Düşün Fark Yarat GRC Erişim Kontrolü 10.1 ile Yetki ve Suistimal Yönetimi Mustafa EDEBALI SAP Türkiye
Jun 23, 2015
SAP FORUM İSTANBUL 2014Basit Düşün Fark YaratGRC Erişim Kontrolü 10.1 ile Yetki ve Suistimal YönetimiMustafa EDEBALISAP Türkiye
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 2
Gündem
�SAP GRC Ürün Ailesine Genel Bakış
�GRC Erişim Kontrolü 10.1– Erişim Riski Analizi
– Erişim Talebi
– Acil Erişim Talebi
– Rol Yönetimi
�Sorular
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 3
4000+ Müşteri
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 4
Optimize global trade and screen restricted parties
Manage access risk and prevent fraud
SAP AccessControl
SAP ProcessControl
SAP RiskManagement
SAP Global Trade Services
Preserve and grow value
Ensure effective controls and ongoing compliance
SAP Nota FiscalEletrónica
Meet electronic invoicing requirements for Brazil
SAP AuditManagement
Drive increased audit efficiency and effectiveness
SAP FraudManagement
Better detect and prevent fraud
SAP Identity Analytics
Gain insights into user roles and optimize decision making
SAP Physical Access Management *
Manage physical access to systems and locations
SAP Critical Infrastructure Protection*
Gain a holistic view and protect critical assets
**by **by
SAP Intelligence Analysis For Public Sector **
Provide public safety and security agencies actionable intelligence
**by
SAP solutions for governance, risk, and complianceOverview of the GRC portfolio
5© 2014 SAP AG or an SAP affiliate company. All rights reserved.
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 6
SAP Erişim KontrolüGeçmişten Günümüze
Nisan 2006: SAP Virsa’yı satınaldı• SAP Virsa Compliance Calibrator (CC)• SAP Virsa Access Enforcer (AE)• SAP Virsa Firefighter (FF)• SAP Virsa Role Expert (RE)
Eylül 2008: SAP Erişim Kontrolü modüllerinin isimlerini 5.3 versiyonunda değiştirdi• Risk Analysis and Remediation (RAR)• Compliant User Provisioning (CUP)• Superuser Privilege Management (SPM)• Enterprise Role Management (ERM)
Ocak 2011: SAP GRC Çözümünü yeni isimyle duyurdu• SAP BusinessObjects Access Control (with 4 capabilities: RAR, CUP, SPM, ERM)
Haziran 2011: Access Control 10.0 duyuruldu• No longer 4 capabilities: 1 harmonized solution called SAP BusinessObjects Access Control
Nisan 2012: SAP BusinessObjects markasını GRC Çözümlerinden kaldırdı
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 7
Çözüme BakışErişim Kontrolü
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 8
İnsan Kaynaklarıİşe alım, görev değişikliği, ayrılmalar esnasında yaşanan yetki süreci
FinansYıllık gelirin 5%’i şirket içi hırsızlık neticesinde kayboluyor
İç DenetimZaman ve çaba gerektiren iç
denetim süreci
? Çoğalan OperasyonlarRol yönetiminin kontrolü
Bilgi GüvenliğiHassas işlem
adımlarının denetimi
Yöneticiler & Üst DüzeyGörev Ayrılıkları (SoD) için sorumluluklar
IT OperasyonuManuel ve hataya açık
sistem yönetimi
Tedarikçiler Müşteriler
Yaşanan Sıkıntı Noktaları
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 9
Kullanıma hazır geniş kapsamlı kural kütüphanesi
Erişim Talebi
Kullanım sırasında oluşan aykırılıkların
önlenmesi
Süper Kullanıcı Talebi
Anahtar kullanıcı giriş kontrolü
Periyodik Giriş Kontrolü ve Denetim
Denetimlerde uyumluluk kontrolüne odaklı çözüm
(Kontrollü Kal)(Temiz Kal)
Risk analizi, tespit ve indirgeme çözümü
Rol Yönetimi
Yetkilendirme safhasında görev
ilkeleri ayrılığına (SoD) uygunluk
Erişim Riski Analizi
Hızlı, zaman/maliyet avantajlı ve kapsamlı ilk
yetkilendirme
(Temizle)
Hızlı uygulama ile uyumluluk çözümü
Sürekli Kullanıcı Giriş Yönetimi
Denetim bakış açısı ile Risk tespit ve
indirgeme çözümü
Erişim Kontrolü Genel Yapısı
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 10
Erişim Kontrolü – Erişim Risk Analizi
• Uyumluluk maliyetlerini ciddi seviyede azaltır
• Çözüm bağımsız önleyici kontrollerle riskleri azaltır
• Otomasyon ile Uyumluluk için zaman tüketimini azaltır
• Kullanıma hazır geniş kapsamlı kural kütüphanesiyle birlikte gelirGerçek zamanlı uyumluluk çözümü güvenlik ve kontrol ihlallerini oluşmadan önce önler.
2
3
4
5
6
1Uçtan uca Otomasyon
Yönetilecek risklerin tanımlanması ve seçimi
Kuralların oluşturulması ve bakımı
Yetki risklerinin tespiti
Risklerin indirgenmesi
Test ve raporlama
Önleyici İşlemler
…
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 11
Hazır Kural Kütüphanesi
200+ Sık karşılaşan erişim riski için hazır kütüphane
Ödeme Banka Değ.
F110F-43ZECZ_ODE
FK02XK02ZECZ_007
Satıcılar Muhasebesinde Susitimal Riski
Ödemeler Süreci
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 12
Erişim Kontrolü – Erişim Risk Analizi
Yetki : Satıcı Ana Verisi Bakımı
Yetki : Satıcı Faturası Ödeme
Heterojen BT Mimarisi
Legacy Custom
Mali İşlerStok Yönetimi ve satınalma
!RISK
Uygulamalar Arası Kurallar
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 13
Risk Analizi
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 14
Gerçek Zamanlı Erişim Riski Raporlaması
Kullanıcı rolleri, profilleri, organizasyonları için ‘What-if’ analiz
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 15
Erişim Kontrolü – Erişim Talebi
Dinamik İş Akışları ile Uyumlu Kullanıcı Giriş YönetimiTalep Yaratılması
Otomatize Onay
Yönetici Onayı
Risk Analizi
Talep tipi ve kullanıcı türü temelli iş akışları
Eskalasyon İş Akışı
İstisnai İş Akışları
100% otomatizeHR İşlemi
Çalışanİşe alma/işten ayrılma
Önleyici Risk Simulasyonu
100% Otomatik
…
• İş Süreçlerine uygulamalar arası risk önleyici kontrollerin iliştirilmesini sağlar
• Kullanıcı yönetiminde maliyetler azalır
• Kontrolün IT’den süreç sahiplerine geçişi
• Denetim için izlenebilir işlemlerYasa ve yükümlülüklere uyumlu, Uçtan uca kullanıcı ve yetki yönetimi sağlar; “işe alımdan, işten ayrılmaya kadar”
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 16
Erişim Kontrolü – Erişim Talebi
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 17
SAP GRC Access Approver Mobil Uygulama
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 18
Erişim Kontrolü – Acil Erişim Talebi
Yeni Oturum Yeni Oturum Yeni Oturum Yeni Oturum
Log Log Log Log
SAP_ALL
• Önceden tanımlı firefight ID’leri• Giriş sınırlamaları• Geçerlilik tarihi• Denetim günlüğünde alan bazlı izlenebilirlik
Firecall ID
SD
Firecall ID
MM
Firecall ID
FICO
Firecall ID …
Superuser
• #1 açık denetim problemini ortadan kaldırır
• Acil durumlarda hızlı çözümle iş süreçlerinde tıkanmaları engeller
• Denetim zamanını azaltır
• Kritik durumlarda zaman tasarrufu sağlar
Uyumluluk odaklı bir bakış açısıyla acil durumlarda gerekli SAP yetkilerini ve girişlerini yönetir
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 19
Acil Durum Yetkilendirmesi ve Takibi
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 20
Kritik Erişimleri Görüntüleme
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 21
Kritik Erişimleri Görüntüleme
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 22
Kullanılmayan Yetki Analizi
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 23
Kullanılmayan Yetki Analizi
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 24
Erişim Kontrolü – Rol Yönetimi
Merkezi Rol Yönetimi
Uygulamalar arası
Kural Kütüphanesi
Denetim Günlüğü
Role Expert
Rol
• Rol bakım maliyetlerinde azalma sağlar
• Tutarlı ve düzgün uyumluluğu sağlar ve yetki risklerini önler
• Hataları elimine eder ve en iyi iş içeriklerini barındırır
• Denetime hazır izlenebilirlik ve güvenlik kontrolleri içerir
Merkezi bir uygulamadan rollerin tanımlanmasını ve bakımlarını olanaklı hale getirir.
…
RolRol
Rol
Rol Rol Rol Rol Rol Rol
Uyumlu Kurumsal Roller
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 25
Erişim Riski Oluşmadan Rol Tanımlama
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 26
Kullanıcıları Yetki ve Rol Kullanımına Göre İnceleme
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 27
Türkiye’den Referanslar
�Arçelik�AVEA�Aygaz�Bausch&Lomb�Betek Boya�Borusan Hold.�Coca Cola�Coşkunöz�Çalık�Doğan Holding�Ekol Lojistik�Hayat Holding�İdo�İpragaz�İSG�Kardemir
�Kocaer�Mercedes�Marmara Pamuklu�Mustafa Nevzat�SAP�Sarten Ambalaj�Şen Piliç�Ted Üniversitesi�Türk Hava Yolları�Türk Telekom�Unilever�Ulkar�Uno�Yolbulan�Vodafone
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 28
SAP® GRC Erişim Kontrolü10 Sebep
Hazır içerik sayesinde 200+ erişim riski21
İş Akışı ile yetki talebi ve onay prosedürü3 Yetki onayı için hazır mobil uygulama4
IDM sistemleri ile entegrasyon5 Acil durum yetkilendirmesi sayesinde istisnasız yetki kontrolü6
Otomatik peryodik sertifikasyon izleme7 Gelişmiş SAP BusinessObjects Dashboardları ve raporları8
RDS çözüm paketi ile temel ihtiyaçların hızlı implementasyonu9 NW ABAP Platformu ile düşük sahip olma
maliyeti ve kolay işletim10
SAP ve Non-SAP Sistemler ile entegrasyon
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 29
�The well-known clothing manufacturer had a slow, IT-intensive process for granting users access to SAP systems in a compliant manner.
�Implemented a preventative process to identify and remediate SoD conflicts that arise
�Reduced time to compliantly provision user access from 14 days to 1.65 days
�Continue to drive more ownership to the business with Access Control 10.0.
Source: Wellesley Publishing, July 2011 - http://insiderprofiles.wispubs.com/article.aspx?iArticleId=5906
�89.9% decrease in average time to provision user access (65% complete same day)
�99.4% reduction in users with SoD violations
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 30
Erişim Talebi – 1.Talep ekranına giriş
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 31
Erişim Talebi – 2.Rol/Profil/İşlem Kodu seçerek yetki talebi
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 32
Erişim Talebi – 2.Rol/Profil/İşlem Kodu seçerek yetki talebi
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 33
Erişim Talebi – 2.Rol/Profil/İşlem Kodu seçerek yetki talebi
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 34
Erişim Talebi – 3.Sebep girerek talebi onaya yollama
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 35
Erişim Talebi – 4.Otomatik Talep Bilgilendirme Maili
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 36
Erişim Talebi – 5.Onaycılara iş akışı ile onay gitmesi
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 37
Erişim Talebi – 6.Mobil Onay İmkanı
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 38
Erişim Talebi – 7.Talep Bilgi Maili
© 2014 SAP AG or an SAP affiliate company. All rights reserved. 39
GRC on sap.com: www.sap.com/grc
“Confidently Drive Your Business with SAP Solutions for GRC” (YouTube, January 2014). www.youtube.com/watch?v=v-NNATpmLJU
SAP Solutions for Governance, Risk, and Compliance (SAP AG, 2013) http://issuu.com/grcebook/docs/grc_ebook_-_final
“Top 10 Reasons why SAP solutions for Governance, Risk, and Compliance (GRC) are your top choice – today and for the future” (SAP). http://download.sap.com/SMIGlobal/download.epd?context=4A194D6D49CB3D64582C38B7492123CB2A884990201BFEE8E2BC5514586961132D8ABE57884C8BFA0BFAD7BA8F53B869ED9FEC8B8101DC9C
Daha Fazla Bilgi İçin
© 2014 SAP AG or an SAP affiliate company. All rights reserved.
Teşekkürler…İletişim Bilgileri:
Mustafa EDEBALIKıdemli Teknoloji Danışmanı[email protected]+90 (530) 970 06 25