DE
FR DE EN ES IT
| Kontaktieren Sie uns
 
20. Dezember 2023 James Watson

Neun wichtige Schritte zur Einhaltung des D...

SAP ist eines der robustesten Systeme der Welt, aber auch eines der komplexesten, und die Struktur von SAP macht die Einhaltung des Datenschutzes besonders schwierig. Sie benötigen detaillierte Fachkenntnisse, ...

Weiterlesen
Aktuell
News
Let's Talk HCM
Let's Talk Landscape
Let's Talk Data Security
Let's Talk Cloud
Let's Talk Community Care

GRC – 3 Ebenen für einen erfolgreichen Schutz

29. März 2022
Roy Topham
Von Roy Topham

Roy ist Professional Services Consultant und Data Security Lead in Europa und konzentriert sich auf die Implementierung von Soterion-Lösungen und SAP-Sicherheitsberatung. Er hat 20 Jahre Erfahrung in verschiedenen Branchen und verfügt über Fachwissen in den Bereichen vollständige SAP-Implementierungen, SOX-Zertifizierung und -Konformität sowie Entwurf und Implementierung von SAP-Sicherheits-Frameworks, einschließlich GRC, Verfahren und technischer Modelle.

Die Welt war noch nie so schnelllebig wie heute - das ist selbstverständlich klar. Unternehmen stehen vor der Herausforderung flexibel auf die sich schnell ändernden Umwelteinflüsse zu reagieren. Auch in der SAP Welt müssen komplizierte und eigenwillige Richtlinien beachtet werden, deren Einhaltung stärker in den Fokus der Unternehmensführung gerückt ist.


Die Pandemie zeigte, wie sehr die Risiken für einen Angriff auf das SAP System angewachsen sind. Um den laufenden Betrieb nicht zu gefährden, waren die Unternehmen zum schnellen Handeln gezwungen, denn alle Mitarbeitenden mussten von zu Hause auf die Unternehmensdaten zugreifen können. In dieser Situation blieb kaum Zeit, um über mögliche Sicherheitsrisiken nachzudenken.

Zusätzlich erleichtert die Arbeit im Homeoffice – und ermutigt vielleicht auch – die eigenen Zugangsberechtigungen auszutesten oder gar schlimmer, sensible Daten aus dem System herunterzuladen. Ein solcher Bericht wurde gleich zum ersten Höhepunkt der Covid-19 Pandemie 2020 veröffentlicht. Das zeigt die Prisanz dieses Themas. Sie sollten sich als Unternehmen der Verantwortung für das Management der Zugangsrisiken bewusst werden und angesichts der anstehenden oder laufenden Transformation auf S/4HANA haben Sie die einmalige Chance diese zu überprüfen.

Welche GRC-Herausforderungen bestehen?

  • Datendiebstahl
  • Audit und Compliance Anforderungen
  • Neue Gesetzesanforderungen

Weltweit stehen die IT-Teams unter großem Druck und sie tun ihr Bestes die Unternehmen vor Cyberangriffen zu schützen. Zusätzlich steht die SAP S/4HANA Migration auf der Agenda, deren eingeleiteten Prozesse nicht gestoppt oder weiter aufgeschoben werden dürfen.

Verwaltung von Zugangsrisiken

Das Prüfen von Zugangsrisiken besteht im Wesentlichen aus drei verschiedenen Linen, die effektiv zusammenarbeiten.

blog-grc-graphic-de

  • 1. Business/ operativer User
  • 2. Risiko und Compliance Abteilung
  • 3.Prüfung und Versicherung

 

Nur eine Abteilung mit der Aufgabe der Unternehmenssicherheit zu betrauen, ist nicht die unternehmerische Weitsicht, die an dieser Stelle angebracht wäre. Um die Effizienz der drei Verteidigungslinien zu erhöhen, muss das Unternehmen die Verantwortung selbst übernehmen. Sind keine freien Kapazitäten da, sollte ein Partner das Unternehmen unterstützen. Egal wie – das Unternehmen muss einen Weg finden das Risiko zu managen. Ein Erfolgsfaktor wäre zum Beisspiel die Erfahrung der Business User. Diese erfahrenen Frauen und Männer kennen die Risiken und aus diesem Pool sollten Sie wichtige Expertise schöpfen.
Das ist ein guter Anfang, aber vielmehr sollten Sie drei Verteidigungslinien etablieren:

  1. Die erste Verteidungslinie: die Erfahrung der Business User zum verwalten und kontrollieren des Risikos nutzen.
  2. Die zweite Verteidigungslinie: Etablieren eines Sicherheitsteams, das auf Risikomanagement spezialisiert ist.
  3. Die dritte Verteidigungslinie: Regelmäßige und unabhänige Prüfungen durchführen, um Risiken im System frühzeitig erkennen und minimieren zu können.

Eine einzelne Verteidigungslinie für sich kann die Sicherheitslücken zwar eindämmen, aber niemals vollständig kontrollieren. Nur das Zusammenspiel aller drei erhöht die Effizienz und Effektivität.

Zugangsrisiken sind Unternehmensrisiken

Die Veränderungen in denen sich die Unternehmen befinden und die angewachsenen Sicherheitsrisiken sorgen dafür, dass Zugangsrisiken zu Risiken für das Unternehmen werden. Vorbei sind die Zeiten in der die Verantwortung in die Hände der Spezialisten gelegt werden können. An Stelle von einzelnen Spezialisten müssen ganze Teams die Verantwortung übernehmen. GRC Tools entstehen aus einer technischen Perspektive und sind meist nur für Prüfungs- oder Admin Nutzer wirklich verständlich. Für Business User sind diese Tools nicht besonders nutzerfreundlich und ehöht lediglich das Ressentiment. Häufig müssen die Unternehmen geplante Ressourcen für GRC Projekte immens verteidigen, da ein direkter Nutzen selten erkennbar ist. Unternehmen profitieren jedoch bereits ab der ersten Sekunde von solchen Projekten, wie es der Fall Aker Solutions zeigt.

Bereits eine Woche nach der Implementierung von Soterion wurde Aker Solutions von den ersten Ergebnissen überrascht. Nach nur sechs Monaten war Aker Solutions in der Lage die Zugangsrisiken um 85% zu reduzieren. In diesem Prozess konnten viele Aktionäre eingebunden werden und den Vorteil von Soterion kommentiere Senior Vice President for Finance and Compliane folgendermaßen: "Endlich haben wir ein Tool an unserer Seite, dass uns Einblicke und echte Transparenz in unsere Rollen und Bedürfnisse gewährt."

Soterions GRC Lösung

Soterion Technologies entwickelte eine ganze Suite die Sicherheit in einem agilen und unternehmenszentrierten Weg bereitstellt. Das gelingt durch ein einfach zu bedienendes Dashboard und Grafiken mit einer Drill-Down Option. Übersichtliche Prozessabläufe zeigen, wo die Risiken des Prozesses liegen und Regeselsätze und Bereinigunsassistenten sind einfach anzupassen.
Soterions Lösung kann in jedes SAP-System implementiert werden, bei der Größe und Speicherort kein Hinderniss darstellen.

Schon kurz nach der erfolgreichen Implementierung, erfahren die Anwender die ersten Vorteile und verzeichnen somit die erste Reduzierung von Zugangsrisiken. Soterions Fokus liegt auf einer unternehmenszentrierten GRC-Compliance, die den Nutzern ermöglicht, Risiken proaktiv in den Abteilungen zu verwalten. Die Verantwortung wird in die entsprechende Abteilung abgegeben und ermöglicht den Security und Compliance Abteilungen den Fokus auf strategische Themen zu legen. Die Business User wissen welche User welche Regeln für ihre Aufgaben brauchen und passen die Berechtigungen an. Das ist ein erster einfacher, aber sehr effektiver Schritt um GRC im Unternehmen wirklich ernsthaft zu forcieren. 

Soterions Regelwerken sind für S/4HANA, Fiori und alle anderen SAP Systeme wie SRM und CRM geeignet. SoD-Konflikte werden in dieser Lösung aufgedeckt. Das einfache und innovative Regelwerk unterstützt Sie bei der Einhaltung aller datenschutzrichtlinen wie der DSGVO.

why-business-centric-grc-is-what-every-organisation-needs-mockup2

Noch heute unternehemsorientiertes GRC implementieren

Effektives GRC misst sich daran, wie gut die Business User ihre Zugangskontrolle durchführen können. Mit dem Übergang der Unternehmen zu S/4 wird die Sicherheit immer komplexer. Es ist wichtig, dass Unternehmen unternehmensorientiertes GRC implementieren, um sowohl geschäftliche als auch technologische Veränderungen bewältigen zu können. Diese bringen unweigerlich zusätzliche Komplexitätsebenen mit sich. Holen Sie sich eine kostenlose SAP-Risikobewertung, um Ihre Reise zu beginnen.

 

Assessment anfordern

 

 

GRC Soterion SAP Data Security Governance, Risk Management and Compliance (GRC) SAP Datensicherheit SAP Sicherheit GRC für SAP

 

Teilen Sie den Artikel auf:

Explore Popular Tags

DSGVO GRC SAP-Zugriffsrisiken Governance, Risk Management and Compliance (GRC) SAP Sicherheit cyber security DSGVO Compliance GDPR compliance Data Security Soterion GDPR SAP Data Security SAP Datensicherheit Datenschutz GRC für SAP SAP Datenschutz GRC for SAP SAP GDPR Cenoti Data Privacy Data Redact Data Redaction Daten Reduzierung Risikomanagement SAP SAP data privacy and compliance SAP security Splunk Berechtigungskonzept Black Friday Business Analytics Cenoti, connecting SAP with Splunk DSGVO Strafen Data Archiving Data Privacy suite Data minimisation Data privacy by design Data privacy regulations Data processor versus controller Data retention rules Daten Maskierung Daten in SAP löschen Datenarchivierung EPI-USE Labs’ solutions Gast Bestellung General Data Protection Guest order ILM IT Identity and Access Management (IAM) One-time customer Online Shopping Protect personal employee data Role permissions SAP HCM SAP HCM Transformation SAP S/4HANA SAP S/4HANA Assessment SAP systems Sensitive HCM data Subject Access Request Success Story compliance ebook informationssicherheit itsecurity sapsecurity synergie
+ See More

Sofortige Updates erhalten

Einen Kommentar schreiben

Managen Sie Ihre SAP Umgebung

Optimieren Sie Ihre SAP Landschaft

HR-Potenzial & SAP Expertise

Vereinfachen Sie Ihre SAP Sicherheit und Compliance

Tools & Know-how

Zu unserem Support