filmov
tv
Διαχείριση SoD στο SAP - ΜΕΡΟΣ 2
Показать описание
Επισκεφθείτε την ιστοσελίδα μας εδώ
Αν θέλεις να το κάνεις σωστά, καλύτερα να το κάνεις μόνος σου! Είμαι υπεύθυνος και ως εκ τούτου πρέπει να έχω όλες τις εξουσιοδοτήσεις των συνεργατών μου!
Ίσως έχετε ήδη συναντήσει παρόμοιες συμπεριφορές στην εταιρεία σας. Αυτό, ωστόσο, έρχεται σε αντίθεση με τις αρχές του διαχωρισμού των καθηκόντων.
Θα δούμε σε αυτό το βίντεο πώς πρέπει να προσεγγίσετε ένα έργο διαχωρισμού καθηκόντων στην εταιρεία σας, ιδιαίτερα στο περιβάλλον SAP!
Γεια σας, είμαι ο Κλέα, και σήμερα θα δούμε μαζί πώς θα πρέπει να προσεγγίσετε και να ξεκινήσετε τη διαδικασία διαχείρισης του διαχωρισμού των καθηκόντων στην εταιρεία σας.
Ένα έργο διαχείρισης SoD περιλαμβάνει τις ακόλουθες φάσεις:
1) Ορισμός του πίνακα εταιρικών κινδύνων
2) Ανάλυση κινδύνου των εμπλεκόμενων συστημάτων
3) Δραστηριότητες αποκατάστασης μετά την ανάλυση κινδύνου
4) Δραστηριότητες μετριασμού ή μείωσης των κινδύνων
5) Ορισμός των διαδικασιών συνεχούς συμμόρφωσης με την πάροδο του χρόνου continuous compliance
Ας εμβαθύνουμε στις λεπτομέρειες για καθένα από αυτά τα βήματα για να κατανοήσουμε ποια είναι τα σημεία που πρέπει να προσέξουμε και πώς να τα προσεγγίσουμε. Ας προχωρήσουμε τώρα στο κομμάτι της αποκατάστασης και του μετριασμού (remediation and mitigation).
Remediation (Αποκατάσταση)
Σε αυτή τη φάση, αμέσως μετά την ανάλυση κινδύνου, "καθαρίζονται" τα αντικείμενα της ανάλυσης, δηλαδή οι τεχνικοί ρόλοι και οι χρήστες.
Πώς μπορεί να πραγματοποιηθεί μια πλήρης εξάλειψη των κινδύνων; Εξετάζοντας, για παράδειγμα, τον τρόπο με τον οποίο το σύστημα χρησιμοποιείται από τους χρήστες. Θυμηθείτε ότι δεν πρέπει να παραβιάσετε τα δικαιώματά τους όμως.
Συνήθως επιτυγχάνεται μείωση του κινδύνου έως και 40% απλώς με τον καθαρισμό, δηλαδή με την αφαίρεση των εξουσιοδοτήσεων που δεν χρησιμοποιούνται.
Επικεντρωθείτε στις ενέργειες που φέρνουν τα μέγιστα αποτελέσματα και στη συνέχεια ολοκληρώστε με ό,τι απομένει.
Είναι πολύ απίθανο να μπορέσετε να διορθώσετε όλους τους κινδύνους μόνο με τη φάση αποκατάστασης (του remediation).
Σίγουρα μπορεί να είναι σχετικά ευκολότερο σε μεγάλες εταιρείες, όσον αφορά τον αριθμό των εργαζομένων/χρηστών της SAP. Στις μικρές και μεσαίες επιχειρήσεις, και πάλι όσον αφορά τον αριθμό των χρηστών στο σύστημα, είναι πιο δύσκολο να εξαλειφθούν όλες οι περιπτώσεις κινδύνου.
Συχνά, στην τελευταία περίπτωση, θέματα backup προσωπικού ή διαδικασίες που δεν μπορούν να αλλάξουν οδηγούν στην ανάγκη εισαγωγής ελέγχων μετριασμού. Ας εξετάσουμε λοιπόν την τέταρτη φάση της διαχείρισης της SoD.
Ας δούμε τη φάση του μετριασμού (Mitigation). Τι σημαίνει αυτό; Εάν κατά την προηγούμενη φάση, δηλαδή την αποκατάσταση (remediation), δεν κατέστη δυνατή η επίλυση όλων των καταστάσεων κινδύνου, τότε πρέπει να εξεταστεί ο έλεγχος αντιστάθμισης ή μετριασμού κινδύνου.
Δηλαδή, η κατάσταση κινδύνου γίνεται αποδεκτή, αλλά πρέπει να εισαχθεί ένας έλεγχος για την παρακολούθηση της κατάστασης που εμπεριέχει κίνδυνο.
Η φάση μετριασμού (mitigation) μπορεί να είναι η πιο περίπλοκη, καθώς είναι απαραίτητο να προσδιοριστούν καλά, ακόμη και τεχνικά, τα πραγματικά αποδεικτικά στοιχεία κινδύνου, καθορίζοντας συχνά ad hoc εκθέσεις ή προγράμματα και υποβάλλοντάς τα στους αρμόδιους υπεύθυνους ελέγχου.
Ωραία λοιπόν, θέσαμε την κατάσταση υπό έλεγχο, δηλαδή απομακρύναμε όλους τους κινδύνους και αυτοί που παρέμεναν μετριάστηκαν.
Τι συμβαίνει όμως αν δεν καθιερώσουμε συνεχείς ελέγχους στις διαδικασίες μας; Λοιπόν, η εμπειρία μας οδηγεί να πούμε ότι μετά από μερικούς μήνες, χωρίς έλεγχο, κινδυνεύουμε πολύ γρήγορα να επιστρέψουμε στην αρχική μας κατάσταση.
Για το λόγο αυτό είναι απαραίτητο να καθοριστούν διαδικασίες που επιτρέπουν την καθημερινή και περιοδική παρακολούθηση των αλλαγών που πραγματοποιούνται στο σύστημα, όσον αφορά νέες εξουσιοδοτήσεις ή αλλαγές σε εξουσιοδοτήσεις που έχουν ήδη εκχωρηθεί σε χρήστες.
Ναι, κάθε νέο αίτημα πρέπει να αναλύεται για να κατανοηθούν οι επιπτώσεις του στην SoD, για παράδειγμα:
- Όταν ορίζετε μια νέα προσαρμοσμένη συναλλαγή (custom) SAP, πραγματοποιείτε αξιολόγηση SoD;
- Εάν ενεργοποιείτε νέες διαδικασίες, πραγματοποιείτε επίσης αξιολόγηση της SoD;
- Εισάγετε το SAP S/4HANA, έχετε προσαρμόσει τον πίνακα SoD;
- Οι αλλαγές σε ρόλους ή η ανάθεση υφιστάμενων ρόλων σε χρήστες υπόκεινται επίσης σε αυτόν τον έλεγχο.
Τέλος, η περιοδική επαναξιολόγηση των εξουσιοδοτήσεων των χρηστών μπορεί επίσης να είναι σημαντική για τη διασφάλιση της συμμόρφωσης με τον διαχωρισμό των καθηκόντων.(segregation of duties)
Επικοινωνήστε μαζί μας αν θέλετε να μάθετε πώς μπορείτε να βελτιώσετε την ασφάλεια των συστημάτων SAP σας.
Τα λέμε σύντομα!
#SAP #SAPSecurity #AGLEA
=======================================================
*Εγγραφείτε στο κανάλι μας εδώ
*Επισκεφθείτε την ιστοσελίδα μας εδώ
*Ακολουθήστε μας στο LinkedIn
Αν θέλεις να το κάνεις σωστά, καλύτερα να το κάνεις μόνος σου! Είμαι υπεύθυνος και ως εκ τούτου πρέπει να έχω όλες τις εξουσιοδοτήσεις των συνεργατών μου!
Ίσως έχετε ήδη συναντήσει παρόμοιες συμπεριφορές στην εταιρεία σας. Αυτό, ωστόσο, έρχεται σε αντίθεση με τις αρχές του διαχωρισμού των καθηκόντων.
Θα δούμε σε αυτό το βίντεο πώς πρέπει να προσεγγίσετε ένα έργο διαχωρισμού καθηκόντων στην εταιρεία σας, ιδιαίτερα στο περιβάλλον SAP!
Γεια σας, είμαι ο Κλέα, και σήμερα θα δούμε μαζί πώς θα πρέπει να προσεγγίσετε και να ξεκινήσετε τη διαδικασία διαχείρισης του διαχωρισμού των καθηκόντων στην εταιρεία σας.
Ένα έργο διαχείρισης SoD περιλαμβάνει τις ακόλουθες φάσεις:
1) Ορισμός του πίνακα εταιρικών κινδύνων
2) Ανάλυση κινδύνου των εμπλεκόμενων συστημάτων
3) Δραστηριότητες αποκατάστασης μετά την ανάλυση κινδύνου
4) Δραστηριότητες μετριασμού ή μείωσης των κινδύνων
5) Ορισμός των διαδικασιών συνεχούς συμμόρφωσης με την πάροδο του χρόνου continuous compliance
Ας εμβαθύνουμε στις λεπτομέρειες για καθένα από αυτά τα βήματα για να κατανοήσουμε ποια είναι τα σημεία που πρέπει να προσέξουμε και πώς να τα προσεγγίσουμε. Ας προχωρήσουμε τώρα στο κομμάτι της αποκατάστασης και του μετριασμού (remediation and mitigation).
Remediation (Αποκατάσταση)
Σε αυτή τη φάση, αμέσως μετά την ανάλυση κινδύνου, "καθαρίζονται" τα αντικείμενα της ανάλυσης, δηλαδή οι τεχνικοί ρόλοι και οι χρήστες.
Πώς μπορεί να πραγματοποιηθεί μια πλήρης εξάλειψη των κινδύνων; Εξετάζοντας, για παράδειγμα, τον τρόπο με τον οποίο το σύστημα χρησιμοποιείται από τους χρήστες. Θυμηθείτε ότι δεν πρέπει να παραβιάσετε τα δικαιώματά τους όμως.
Συνήθως επιτυγχάνεται μείωση του κινδύνου έως και 40% απλώς με τον καθαρισμό, δηλαδή με την αφαίρεση των εξουσιοδοτήσεων που δεν χρησιμοποιούνται.
Επικεντρωθείτε στις ενέργειες που φέρνουν τα μέγιστα αποτελέσματα και στη συνέχεια ολοκληρώστε με ό,τι απομένει.
Είναι πολύ απίθανο να μπορέσετε να διορθώσετε όλους τους κινδύνους μόνο με τη φάση αποκατάστασης (του remediation).
Σίγουρα μπορεί να είναι σχετικά ευκολότερο σε μεγάλες εταιρείες, όσον αφορά τον αριθμό των εργαζομένων/χρηστών της SAP. Στις μικρές και μεσαίες επιχειρήσεις, και πάλι όσον αφορά τον αριθμό των χρηστών στο σύστημα, είναι πιο δύσκολο να εξαλειφθούν όλες οι περιπτώσεις κινδύνου.
Συχνά, στην τελευταία περίπτωση, θέματα backup προσωπικού ή διαδικασίες που δεν μπορούν να αλλάξουν οδηγούν στην ανάγκη εισαγωγής ελέγχων μετριασμού. Ας εξετάσουμε λοιπόν την τέταρτη φάση της διαχείρισης της SoD.
Ας δούμε τη φάση του μετριασμού (Mitigation). Τι σημαίνει αυτό; Εάν κατά την προηγούμενη φάση, δηλαδή την αποκατάσταση (remediation), δεν κατέστη δυνατή η επίλυση όλων των καταστάσεων κινδύνου, τότε πρέπει να εξεταστεί ο έλεγχος αντιστάθμισης ή μετριασμού κινδύνου.
Δηλαδή, η κατάσταση κινδύνου γίνεται αποδεκτή, αλλά πρέπει να εισαχθεί ένας έλεγχος για την παρακολούθηση της κατάστασης που εμπεριέχει κίνδυνο.
Η φάση μετριασμού (mitigation) μπορεί να είναι η πιο περίπλοκη, καθώς είναι απαραίτητο να προσδιοριστούν καλά, ακόμη και τεχνικά, τα πραγματικά αποδεικτικά στοιχεία κινδύνου, καθορίζοντας συχνά ad hoc εκθέσεις ή προγράμματα και υποβάλλοντάς τα στους αρμόδιους υπεύθυνους ελέγχου.
Ωραία λοιπόν, θέσαμε την κατάσταση υπό έλεγχο, δηλαδή απομακρύναμε όλους τους κινδύνους και αυτοί που παρέμεναν μετριάστηκαν.
Τι συμβαίνει όμως αν δεν καθιερώσουμε συνεχείς ελέγχους στις διαδικασίες μας; Λοιπόν, η εμπειρία μας οδηγεί να πούμε ότι μετά από μερικούς μήνες, χωρίς έλεγχο, κινδυνεύουμε πολύ γρήγορα να επιστρέψουμε στην αρχική μας κατάσταση.
Για το λόγο αυτό είναι απαραίτητο να καθοριστούν διαδικασίες που επιτρέπουν την καθημερινή και περιοδική παρακολούθηση των αλλαγών που πραγματοποιούνται στο σύστημα, όσον αφορά νέες εξουσιοδοτήσεις ή αλλαγές σε εξουσιοδοτήσεις που έχουν ήδη εκχωρηθεί σε χρήστες.
Ναι, κάθε νέο αίτημα πρέπει να αναλύεται για να κατανοηθούν οι επιπτώσεις του στην SoD, για παράδειγμα:
- Όταν ορίζετε μια νέα προσαρμοσμένη συναλλαγή (custom) SAP, πραγματοποιείτε αξιολόγηση SoD;
- Εάν ενεργοποιείτε νέες διαδικασίες, πραγματοποιείτε επίσης αξιολόγηση της SoD;
- Εισάγετε το SAP S/4HANA, έχετε προσαρμόσει τον πίνακα SoD;
- Οι αλλαγές σε ρόλους ή η ανάθεση υφιστάμενων ρόλων σε χρήστες υπόκεινται επίσης σε αυτόν τον έλεγχο.
Τέλος, η περιοδική επαναξιολόγηση των εξουσιοδοτήσεων των χρηστών μπορεί επίσης να είναι σημαντική για τη διασφάλιση της συμμόρφωσης με τον διαχωρισμό των καθηκόντων.(segregation of duties)
Επικοινωνήστε μαζί μας αν θέλετε να μάθετε πώς μπορείτε να βελτιώσετε την ασφάλεια των συστημάτων SAP σας.
Τα λέμε σύντομα!
#SAP #SAPSecurity #AGLEA
=======================================================
*Εγγραφείτε στο κανάλι μας εδώ
*Επισκεφθείτε την ιστοσελίδα μας εδώ
*Ακολουθήστε μας στο LinkedIn
0:04:45
0:05:04
0:10:03
0:02:04
0:47:16
0:04:09
0:24:53
0:55:54
0:22:30
0:19:38
0:08:12
0:11:47
0:01:39
0:00:59
0:19:51
0:55:50
0:11:52
0:04:33
0:52:38
0:23:05
0:17:26
0:45:17
0:05:45
0:55:29