Ein ganzheitliches und effektives IT-Risikomanagement verhilft zu qualifizierten, schnelleren Entscheidungen und birgt ein enormes Wertschöpfungspotential für das gesamte Unternehmen. Doch fehlt es in der Praxis oft an geeigneten Mitteln, um Gefährdungen führzeitig zu erkennen. Zudem wird das IT-Risikomanagement leider viel zu häufig nur als ein reaktiver Prozess verstanden.
Doch kommt kein Unternehmen, das sich mit Risiken im SAP-Berechtigungsumfeld inhaltlich beschäftigt, an der Entscheidung vorbei, wie es mit entsprechenden Sicherheitsrisiken umgehen möchte. Grundsätzlich lassen sich hierbei drei Herangehensweisen unterscheiden:
- Risiko nicht akzeptieren und Berechtigungen entziehen
- Risiko mildern durch entsprechende Kontrollmaßnahme
- Risiko mit geringem Schadensausmaß und Eintrittswahrscheinlichkeit akzeptieren
Risiko- und Rollenmanagement mit SAST
Die Milderung eines Risikos wird im Fachjargon auch als Mitigation bezeichnet. Mit unserer GRC-Software SAST SUITE lassen sich jegliche Mitigations-Entscheidungen im Modul Risk & Compliance Management hinterlegen. Hierzu ist lediglich die entsprechende RisikoID sowie UserID auszuwählen.
Bei sehr vielen Benutzern und Risiken kann die Pflege der Einzelentscheidungen jedoch schnell zu höheren Zeitaufwänden führen. So ist der Wunsch entstanden, Mitigations-Entscheidungen mit Zuweisungen der Rollenberechtigungen zu verknüpfen. Ein Benutzer, der durch einen Genehmigungsprozess eine kritische Rolle erhalten hat, sollte somit automatisch mit der entsprechenden Mitigations-Entscheidung im System dokumentiert werden. Und die genehmigte Berechtigung bei Risikoauswertungen wird folglich nicht als Risiko angezeigt. Der große Vorteil besteht in der Minimierung des Pflegeaufwands, da durch die direkte Rollenzuweisung der Mitigations-Eintrag dynamisch im System hinterlegt wird.
Das Prinzip der dynamischen Mitigationsgruppen wurde sowohl für ABAP-Berechtigungsrollen als auch für Business Roles aus dem angebundenen Identity Management (IDM) umgesetzt.
In den Risikoauswertungen der SAST SUITE werden die entsprechenden Benutzer in der Folge automatisch klassifiziert, so dass hier nur solche Benutzer ins Auge fallen, die risikobehaftete Berechtigungen ohne eine Genehmigung erhalten haben. Dies erspart sehr viel Zeit in der Risikoanalyse und verschafft maximale Transparenz.
Sie wollen mehr über die Absicherung Ihrer SAP-Systeme erfahren? Dann informieren Sie sich auf unserer SAST SOLUTIONS Website oder nehmen Sie Kontakt zu uns auf: sast@akquinet.de
Steffen Maltig, Head of SAST Authorization Management bei AKQUINET