Embed Size (px)
Citation preview
��������������������������� ��
SAP GRC Access Control
8 May 2008
Carl Clicteur
���� ���������������������������������������
�����
� !����������������"
��#�$�������������������%���
&�'���(�%���������#�$������������������)*+
������(���(����������(��%������%������,�(�����
��#�$������������������(�-�.-�����!��(�(,�����
���� ���������������������������������������
��������������������
���%����,��%-���.�������,(�-��,�/�����������(�-��%� ���0(�������������
/����������!����(�-�(%� ���0(������(�(,������������������(�%(� ������1������(�-���������--�-��������(������-��(�������2����%-��,��(������������,3�
#��������%���(��������'�����%�������4�.5����%�������6����1,%���7 (�����(�������8%����
������-%�������,��,(���������%�����2���3�����(���������(���%�-������-�(�-�%���������-�2� ����������������������� ���������������� �� (�,�� �����,(��0(����93
��8%������������,���!�(������2(-������, ��3����(-� ���(�-����%���������!���������-�(�-����������-
���� ���������������������������������������
������������������������������� �����������
�������(����(� ������!���������-���(%-���:�(�%(����(�%(������(�-
�%���8%��������-�(��������� �����-��,�*
��������� �� �, ������� �'�� �%��(��������������(������������%�%����������
��,��,(���������%�����������(�������%�-����������
time
risk
��������������� � ���������� � ����� � ����� ��� � �� ��������
audit
audit
������������������ � ����������� ��� ����� ����������� ����� ��� ��������������
Continuous monitoring
audit
���� ���������������������������������������
�������������(�%(� �%�����(����(�-��������������������������
��� ����,!1�(��- ��������������� �����(������������
� �����������
Non-awareness Automationof controls
ContinuousCompliance True Vision
Automated Monitoring
Spreadsheets
ManualConfusion Benefit
; Lack of visibility; Lack of control; Manually-intensive
Business & IT processes
; Reactive and non-integrated approach
; Approach not driven by risk
; Large sample sizes for audit
; Approach driven by risk
; Automated user access process
; Real-time risk analysis
; Integrated, but reactive approach
; Reduced sample sizes for audit
; Embedded risk & control library
; Proactive approach by simulation of changes
; Alerts & monitor effectiveness of controls
; Business value; Audit trial of all
changes and approvals
; Embedded risk management
; True Business transparency
; Increased stakeholder confidence
; Improved Business performance and sustainability
; Lack of visibility; Lack of control; Manually-intensive
Business & IT processes
; Reactive and non-integrated approach
; Overwhelming sample sizes (audit)
���� ���������������������������������������
�����
� !����������������"
��#�$�������������������%���
&�'���(�%���������#�$������������������)*+
������(���(����������(��%������%������,�(������
��#�$������������������(�-�.-�����!��(�(,�����
���� ���������������������������������������
Stage 2:Stay clean by continuous Access Management
���������������������� !��!��"
Stage 1:Get clean
SAP GRC Risk Analysis and Remediation (Compliance Calibrator)
SAP GRCSuper user Privilege
Management(Firefighter)
SAP GRCEnterprise
Role Management(Role Expert)
SAP GRC Compliant
User Provisioning
(Access Enforcer)
Risk Identification & Remediation
Role Change Management
Emergency Access Control
User AccessManagement
Stage 3:Stay in control
Periodic Review & Audit
SAP GRC Access Control 5.2
���� ���������������������������������������
����������������������������������(�!����(�-�����-�(������2�<1����(�������(�����(����(���3
SAP GRC Risk Analysis and Remediation (Compliance Calibrator)
SAP GRCSuper user Privilege
Management(Firefighter)
SAP GRCEnterprise
Role Management(Role Expert)
SAP GRC Compliant
User Provisioning
(Access Enforcer)
=(�����(���-���%����������'�����%�������(�-�.5�
�����(��0�-�-����������������������(��-����/�����������
��(�1�����(�-������1�!����������(�(�!���
����-�(����������������(�����
#��(������-�������������������%����!����%�(����
�%-���(�����!����� (�,�����%�����
9
���� ���������������������������������������
���#��� ������$������� ������ ����� ��
Risk *
Function 1 Function 2
Actions
Permissions
Actions
Permissions
�%������ #������ P001: Procure to Pay Process
Org. rulesOrg. rules
PR01: Maintain Vendor Master DataAP03: Release Blocked Invoices
PR07: Maintain a Vendor's Bank Account Number and Release Invoice for payment, might leadto monetary loss.
SAP transaction codes: FK01, FK02, XK01, XK02, XK99 & MRBR
SAP authorization objects and values: F_LFA1_APP: ACTVT= 01 or 02
APPKZ = FF_LFA1_BUK: ACTVT= 01 or 02
BUKRS= $BUKRS
F_LFA1_GRP: ACTVT= 01 or 02KTOKK= VEN1
Organizational rules:Belgium => $BUKRS = BE00
Bus
ines
s la
ngua
geTe
chni
cal t
alk
% )�����1-�����-��������%�1��1� �1��<
��� ���������������������������������������
���������������������������������(���/����#����������,��2�<1����(����������������3
SAP GRC Risk Analysis and Remediation (Compliance Calibrator)
SAP GRCSuper user Privilege
Management(Firefighter)
SAP GRCEnterprise
Role Management(Role Expert)
SAP GRC Compliant
User Provisioning
(Access Enforcer)
>���,���0�-�(��������8%�����������
�%���(��-�(�����(���(�(,������2'�������'3
�����(�(�!�������������8%����(�����(�
5�(���(��������'�������(������� ��(�����(��2����%��������(�,%(,�3
�%���(��-�%���������������,������#
�%���(������,,��,������8%����(�����(���(�-���-����(�����
��� ���������������������������������������
������ ���&�������!���������' (����� ���!��!��"
Automated Provisioning
SAPSystem
SAP GRC Access Enforcer
WorkflowConnectors
RequestInitiator
User Data &Authentication
SAP GRC Risk Analysis
& Remediation
RiskAnalysis
User Data Source
SAP end usersor Line Managers
Line ManagersRole OwnersRisk Owners
EmailServer
Approvals
Notifications& Reminders
3
1
2
4 5
6
���� ���������������������������������������
#��1(������-�����,���!�(�����
�%���(�����1�(����������(�����' ���=�����, ��� ��-�����(����(��-
�%���(�������-��,������,���������������������
���(���-�(%-�����(���������������-�(������
�%-���(�����!�2==1%����? ��#@�AA1%���3
���1�(��-���,�������� �����%-��,������(�(�!���
����������������������������%����/����#������,���(�(,������2�<1����(�=�����, ��� ������#3
SAP GRC Risk Analysis and Remediation (Compliance Calibrator)
SAP GRCSuper user Privilege
Management(Firefighter)
SAP GRCEnterprise
Role Management(Role Expert)
SAP GRC Compliant
User Provisioning
(Access Enforcer)
���� ���������������������������������������
�����&�������!������� � �������� ��������!��!��"
User activatesFirefighter mode
User entersBusiness
justification
User receives elevated
privileges
User leavesFirefighter
mode
Log reportsent to
Controller
E-mail notification
sent to Controller
Log files collectedfor User
User looses elevated privileges
Firefighter mode
Pre-approvedaccess to use
Firefighter
regular mode
���� ���������������������������������������
��������������������������������������������(�(,�������2�<1������<����3
SAP GRC Risk Analysis and Remediation (Compliance Calibrator)
SAP GRCSuper user Privilege
Management(Firefighter)
SAP GRCEnterprise
Role Management (Role Expert)
SAP GRC Compliant
User Provisioning
(Access Enforcer)
�����(���(�(,���������(%� ���0(����������
�%���(�����������(��������� (�,�����������B'����
������(��'������'����������� (�,��
#���������������(�(�!�������������
�%���(���������,����(����������#��!�����
�%-�����(����(�-���������,����(��������� (�,��
Risk AnalysisAuthorizationsRole Definition Approval Generation
���� ���������������������������������������
�����
� !����������������"
��#�$�������������������%���
&�'���(�%���������#�$������������������)*+
������(���(����������(��%������%������,�(�����
��#�$������������������(�-�.-�����!��(�(,�����
���� ���������������������������������������
��"�)� ���������������������*+,�-./
���#��� ������ ��������� ����
���,���A(%�� �#(-�����(�����%���(�(���������2�%�������'��-�'��(!�������3
#������(����������������
�����������#���(��(�-�/�������,�(�����2�����(�(�!����(�-�%���������������,3
.�����:�<�����%���������2��������� ������,%�(�����4�����,(�����-(�(3
�� (���-���������,
C �(�!�(--�-���������(�-���������������(������<�����-
C �.�����,�(���������%�������������,
�� (������������� (�,���(�(,�������%-���5�(��
�����(�(,�������!��<�������
C .-���������%�����,(��-������
C #����-�������,(�������(�������%������(���!
���� ���������������������������������������
��"�)� ���������������������*+,�-0/
������ ���&�������!��������
��-1%������8%����������%�����0(����
.���,�(�����'�� ��%�������-(�(���%����
#(��'��-�������
C �%������-�����B�(��� �#����������(�-�D���-'(�-�
C /�����(��'��-�����1��������'�� �(�� (����,����������
�����1�!����������(�(�!��������(��������8%����
������(���/����#����������,�����B�(��� �#����������(�-�D���-'(�-�
/����0��>�����,,���������#���������
�� (�����/���%�����
.���,�(�����'�� ���(����,��!�����
.-�����!��(�(,������.���,�(�����'�� ��(E���.������-���
���� ���������������������������������������
��"�)� ���������������������*+,�-,/
1���������������� � ������
�� (���-������-����(�����2��,��(�%���(��3
�� (���-������(�(�!����(�-����%�(�����
������!����,����(��������������%��������!������(�����������
������!�������!�(������
���%����(�����������1��#�������(�-�����������1'�-��������
.���,�(�����'�� ���#���#F� #�������$����(����2#=�$3
�����&�������!������� � ������
�� (���-���,��������
�%��������'���������=�����, ����.��
�%���(����(�� ��(�����A�,�������
���� ���������������������������������������
�����
� !����������������"
��#�$�������������������%���
&�'���(�%���������#�$������������������)*+
������(���(����������(��%������%������,�(�����
��#�$������������������(�-�.-�����!��(�(,�����
���� ���������������������������������������
����� �������) �������������������������������
��,(,��,��%�������(�-�.5���(� �����-�������%�����0��(�-�����1�%��������
-�����������(�-�,(� ���(�����8%��������*��(��-(����%�������'�� �.�����(���%-��*
�(�(,�������%������1 (���,�%�����������(�������(�������������� ��
��,(��0(�����'����(���������(--������,�����������������(���
����%���� ; %�-����(�-��,�� ����,(��0(����G����!��%������������(������'�������
������(� ��������%������������(������������������������� ���(���2�%������3�
����%����
6����-�� ����,��(�,7 ; �%��-��,��%��� ��$���������������������%�����
�����������!�����������(���'�����(������(����(�������(��%��(��(�������%����
.���(��(�������*�.���,�(����; (������(����(������(��(����������#����������������
�����(����������6��-(!�7 H� �'�����(��%������%������,�(�������8%������%� ������
���� ��������(�-��<�������
����-�� �����%��������� ����,(��0(�����!�-������,�� ������(����(�������������
����%��(���������(����2�*,*����(��������'����E���� ���'������ ���'��!����� �
� (�,��������,(��0(����3
���� ���������������������������������������
�����
� !����������������"
��#�$�������������������%���
&�'���(�%���������#�$������������������)*+
������(���(����������(��%������%������,�(�����
��#�$������������������(�-�.-�����!��(�(,�����
����� ���������������������������������������
2������' ������������������ � ������
Thank you for your attention
