YETKİLENDİRMENİZİ KONTROL ALTINA ALIN, SUİSTİMALLERİ ENGELLEYİN

SAP FORUM İSTANBUL 2014Basit Düşün Fark YaratGRC Erişim Kontrolü 10.1 ile Yetki ve Suistimal YönetimiMustafa EDEBALISAP Türkiye

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 2

Gündem

�SAP GRC Ürün Ailesine Genel Bakış

�GRC Erişim Kontrolü 10.1– Erişim Riski Analizi

– Erişim Talebi

– Acil Erişim Talebi

– Rol Yönetimi

�Sorular

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 3

4000+ Müşteri

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 4

Optimize global trade and screen restricted parties

Manage access risk and prevent fraud

SAP AccessControl

SAP ProcessControl

SAP RiskManagement

SAP Global Trade Services

Preserve and grow value

Ensure effective controls and ongoing compliance

SAP Nota FiscalEletrónica

Meet electronic invoicing requirements for Brazil

SAP AuditManagement

Drive increased audit efficiency and effectiveness

SAP FraudManagement

Better detect and prevent fraud

SAP Identity Analytics

Gain insights into user roles and optimize decision making

SAP Physical Access Management *

Manage physical access to systems and locations

SAP Critical Infrastructure Protection*

Gain a holistic view and protect critical assets

**by **by

SAP Intelligence Analysis For Public Sector **

Provide public safety and security agencies actionable intelligence

**by

SAP solutions for governance, risk, and complianceOverview of the GRC portfolio

5© 2014 SAP AG or an SAP affiliate company. All rights reserved.

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 6

SAP Erişim KontrolüGeçmişten Günümüze

Nisan 2006: SAP Virsa’yı satınaldı• SAP Virsa Compliance Calibrator (CC)• SAP Virsa Access Enforcer (AE)• SAP Virsa Firefighter (FF)• SAP Virsa Role Expert (RE)

Eylül 2008: SAP Erişim Kontrolü modüllerinin isimlerini 5.3 versiyonunda değiştirdi• Risk Analysis and Remediation (RAR)• Compliant User Provisioning (CUP)• Superuser Privilege Management (SPM)• Enterprise Role Management (ERM)

Ocak 2011: SAP GRC Çözümünü yeni isimyle duyurdu• SAP BusinessObjects Access Control (with 4 capabilities: RAR, CUP, SPM, ERM)

Haziran 2011: Access Control 10.0 duyuruldu• No longer 4 capabilities: 1 harmonized solution called SAP BusinessObjects Access Control

Nisan 2012: SAP BusinessObjects markasını GRC Çözümlerinden kaldırdı

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 7

Çözüme BakışErişim Kontrolü

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 8

İnsan Kaynaklarıİşe alım, görev değişikliği, ayrılmalar esnasında yaşanan yetki süreci

FinansYıllık gelirin 5%’i şirket içi hırsızlık neticesinde kayboluyor

İç DenetimZaman ve çaba gerektiren iç

denetim süreci

? Çoğalan OperasyonlarRol yönetiminin kontrolü

Bilgi GüvenliğiHassas işlem

adımlarının denetimi

Yöneticiler & Üst DüzeyGörev Ayrılıkları (SoD) için sorumluluklar

IT OperasyonuManuel ve hataya açık

sistem yönetimi

Tedarikçiler Müşteriler

Yaşanan Sıkıntı Noktaları

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 9

Kullanıma hazır geniş kapsamlı kural kütüphanesi

Erişim Talebi

Kullanım sırasında oluşan aykırılıkların

önlenmesi

Süper Kullanıcı Talebi

Anahtar kullanıcı giriş kontrolü

Periyodik Giriş Kontrolü ve Denetim

Denetimlerde uyumluluk kontrolüne odaklı çözüm

(Kontrollü Kal)(Temiz Kal)

Risk analizi, tespit ve indirgeme çözümü

Rol Yönetimi

Yetkilendirme safhasında görev

ilkeleri ayrılığına (SoD) uygunluk

Erişim Riski Analizi

Hızlı, zaman/maliyet avantajlı ve kapsamlı ilk

yetkilendirme

(Temizle)

Hızlı uygulama ile uyumluluk çözümü

Sürekli Kullanıcı Giriş Yönetimi

Denetim bakış açısı ile Risk tespit ve

indirgeme çözümü

Erişim Kontrolü Genel Yapısı

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 10

Erişim Kontrolü – Erişim Risk Analizi

• Uyumluluk maliyetlerini ciddi seviyede azaltır

• Çözüm bağımsız önleyici kontrollerle riskleri azaltır

• Otomasyon ile Uyumluluk için zaman tüketimini azaltır

• Kullanıma hazır geniş kapsamlı kural kütüphanesiyle birlikte gelirGerçek zamanlı uyumluluk çözümü güvenlik ve kontrol ihlallerini oluşmadan önce önler.

2

3

4

5

6

1Uçtan uca Otomasyon

Yönetilecek risklerin tanımlanması ve seçimi

Kuralların oluşturulması ve bakımı

Yetki risklerinin tespiti

Risklerin indirgenmesi

Test ve raporlama

Önleyici İşlemler

…

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 11

Hazır Kural Kütüphanesi

200+ Sık karşılaşan erişim riski için hazır kütüphane

Ödeme Banka Değ.

F110F-43ZECZ_ODE

FK02XK02ZECZ_007

Satıcılar Muhasebesinde Susitimal Riski

Ödemeler Süreci

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 12

Erişim Kontrolü – Erişim Risk Analizi

Yetki : Satıcı Ana Verisi Bakımı

Yetki : Satıcı Faturası Ödeme

Heterojen BT Mimarisi

Legacy Custom

Mali İşlerStok Yönetimi ve satınalma

!RISK

Uygulamalar Arası Kurallar

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 13

Risk Analizi

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 14

Gerçek Zamanlı Erişim Riski Raporlaması

Kullanıcı rolleri, profilleri, organizasyonları için ‘What-if’ analiz

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 15

Erişim Kontrolü – Erişim Talebi

Dinamik İş Akışları ile Uyumlu Kullanıcı Giriş YönetimiTalep Yaratılması

Otomatize Onay

Yönetici Onayı

Risk Analizi

Talep tipi ve kullanıcı türü temelli iş akışları

Eskalasyon İş Akışı

İstisnai İş Akışları

100% otomatizeHR İşlemi

Çalışanİşe alma/işten ayrılma

e-mail

Önleyici Risk Simulasyonu

100% Otomatik

…

• İş Süreçlerine uygulamalar arası risk önleyici kontrollerin iliştirilmesini sağlar

• Kullanıcı yönetiminde maliyetler azalır

• Kontrolün IT’den süreç sahiplerine geçişi

• Denetim için izlenebilir işlemlerYasa ve yükümlülüklere uyumlu, Uçtan uca kullanıcı ve yetki yönetimi sağlar; “işe alımdan, işten ayrılmaya kadar”

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 16

Erişim Kontrolü – Erişim Talebi

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 17

SAP GRC Access Approver Mobil Uygulama

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 18

Erişim Kontrolü – Acil Erişim Talebi

Yeni Oturum Yeni Oturum Yeni Oturum Yeni Oturum

Log Log Log Log

SAP_ALL

• Önceden tanımlı firefight ID’leri• Giriş sınırlamaları• Geçerlilik tarihi• Denetim günlüğünde alan bazlı izlenebilirlik

Firecall ID

SD

Firecall ID

MM

Firecall ID

FICO

Firecall ID …

Superuser

• #1 açık denetim problemini ortadan kaldırır

• Acil durumlarda hızlı çözümle iş süreçlerinde tıkanmaları engeller

• Denetim zamanını azaltır

• Kritik durumlarda zaman tasarrufu sağlar

Uyumluluk odaklı bir bakış açısıyla acil durumlarda gerekli SAP yetkilerini ve girişlerini yönetir

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 19

Acil Durum Yetkilendirmesi ve Takibi

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 20

Kritik Erişimleri Görüntüleme

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 21

Kritik Erişimleri Görüntüleme

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 22

Kullanılmayan Yetki Analizi

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 23

Kullanılmayan Yetki Analizi

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 24

Erişim Kontrolü – Rol Yönetimi

Merkezi Rol Yönetimi

Uygulamalar arası

Kural Kütüphanesi

Denetim Günlüğü

Role Expert

Rol

• Rol bakım maliyetlerinde azalma sağlar

• Tutarlı ve düzgün uyumluluğu sağlar ve yetki risklerini önler

• Hataları elimine eder ve en iyi iş içeriklerini barındırır

• Denetime hazır izlenebilirlik ve güvenlik kontrolleri içerir

Merkezi bir uygulamadan rollerin tanımlanmasını ve bakımlarını olanaklı hale getirir.

…

RolRol

Rol

Rol Rol Rol Rol Rol Rol

Uyumlu Kurumsal Roller

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 25

Erişim Riski Oluşmadan Rol Tanımlama

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 26

Kullanıcıları Yetki ve Rol Kullanımına Göre İnceleme

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 27

Türkiye’den Referanslar

�Arçelik�AVEA�Aygaz�Bausch&Lomb�Betek Boya�Borusan Hold.�Coca Cola�Coşkunöz�Çalık�Doğan Holding�Ekol Lojistik�Hayat Holding�İdo�İpragaz�İSG�Kardemir

�Kocaer�Mercedes�Marmara Pamuklu�Mustafa Nevzat�SAP�Sarten Ambalaj�Şen Piliç�Ted Üniversitesi�Türk Hava Yolları�Türk Telekom�Unilever�Ulkar�Uno�Yolbulan�Vodafone

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 28

SAP® GRC Erişim Kontrolü10 Sebep

Hazır içerik sayesinde 200+ erişim riski21

İş Akışı ile yetki talebi ve onay prosedürü3 Yetki onayı için hazır mobil uygulama4

IDM sistemleri ile entegrasyon5 Acil durum yetkilendirmesi sayesinde istisnasız yetki kontrolü6

Otomatik peryodik sertifikasyon izleme7 Gelişmiş SAP BusinessObjects Dashboardları ve raporları8

RDS çözüm paketi ile temel ihtiyaçların hızlı implementasyonu9 NW ABAP Platformu ile düşük sahip olma

maliyeti ve kolay işletim10

SAP ve Non-SAP Sistemler ile entegrasyon

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 29

�The well-known clothing manufacturer had a slow, IT-intensive process for granting users access to SAP systems in a compliant manner.

�Implemented a preventative process to identify and remediate SoD conflicts that arise

�Reduced time to compliantly provision user access from 14 days to 1.65 days

�Continue to drive more ownership to the business with Access Control 10.0.

Source: Wellesley Publishing, July 2011 - http://insiderprofiles.wispubs.com/article.aspx?iArticleId=5906

�89.9% decrease in average time to provision user access (65% complete same day)

�99.4% reduction in users with SoD violations

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 30

Erişim Talebi – 1.Talep ekranına giriş

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 31

Erişim Talebi – 2.Rol/Profil/İşlem Kodu seçerek yetki talebi

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 32

Erişim Talebi – 2.Rol/Profil/İşlem Kodu seçerek yetki talebi

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 33

Erişim Talebi – 2.Rol/Profil/İşlem Kodu seçerek yetki talebi

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 34

Erişim Talebi – 3.Sebep girerek talebi onaya yollama

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 35

Erişim Talebi – 4.Otomatik Talep Bilgilendirme Maili

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 36

Erişim Talebi – 5.Onaycılara iş akışı ile onay gitmesi

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 37

Erişim Talebi – 6.Mobil Onay İmkanı

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 38

Erişim Talebi – 7.Talep Bilgi Maili

© 2014 SAP AG or an SAP affiliate company. All rights reserved. 39

GRC on sap.com: www.sap.com/grc

“Confidently Drive Your Business with SAP Solutions for GRC” (YouTube, January 2014). www.youtube.com/watch?v=v-NNATpmLJU

SAP Solutions for Governance, Risk, and Compliance (SAP AG, 2013) http://issuu.com/grcebook/docs/grc_ebook_-_final

“Top 10 Reasons why SAP solutions for Governance, Risk, and Compliance (GRC) are your top choice – today and for the future” (SAP). http://download.sap.com/SMIGlobal/download.epd?context=4A194D6D49CB3D64582C38B7492123CB2A884990201BFEE8E2BC5514586961132D8ABE57884C8BFA0BFAD7BA8F53B869ED9FEC8B8101DC9C

Daha Fazla Bilgi İçin

© 2014 SAP AG or an SAP affiliate company. All rights reserved.

Teşekkürler…İletişim Bilgileri:

Mustafa EDEBALIKıdemli Teknoloji Danışmanı[email protected]+90 (530) 970 06 25