Die Welt war noch nie so schnelllebig wie heute - das ist selbstverständlich klar. Unternehmen stehen vor der Herausforderung flexibel auf die sich schnell ändernden Umwelteinflüsse zu reagieren. Auch in der SAP Welt müssen komplizierte und eigenwillige Richtlinien beachtet werden, deren Einhaltung stärker in den Fokus der Unternehmensführung gerückt ist.
Die Pandemie zeigte, wie sehr die Risiken für einen Angriff auf das SAP System angewachsen sind. Um den laufenden Betrieb nicht zu gefährden, waren die Unternehmen zum schnellen Handeln gezwungen, denn alle Mitarbeitenden mussten von zu Hause auf die Unternehmensdaten zugreifen können. In dieser Situation blieb kaum Zeit, um über mögliche Sicherheitsrisiken nachzudenken.
Zusätzlich erleichtert die Arbeit im Homeoffice – und ermutigt vielleicht auch – die eigenen Zugangsberechtigungen auszutesten oder gar schlimmer, sensible Daten aus dem System herunterzuladen. Ein solcher Bericht wurde gleich zum ersten Höhepunkt der Covid-19 Pandemie 2020 veröffentlicht. Das zeigt die Prisanz dieses Themas. Sie sollten sich als Unternehmen der Verantwortung für das Management der Zugangsrisiken bewusst werden und angesichts der anstehenden oder laufenden Transformation auf S/4HANA haben Sie die einmalige Chance diese zu überprüfen.
Weltweit stehen die IT-Teams unter großem Druck und sie tun ihr Bestes die Unternehmen vor Cyberangriffen zu schützen. Zusätzlich steht die SAP S/4HANA Migration auf der Agenda, deren eingeleiteten Prozesse nicht gestoppt oder weiter aufgeschoben werden dürfen.
Das Prüfen von Zugangsrisiken besteht im Wesentlichen aus drei verschiedenen Linen, die effektiv zusammenarbeiten.
Nur eine Abteilung mit der Aufgabe der Unternehmenssicherheit zu betrauen, ist nicht die unternehmerische Weitsicht, die an dieser Stelle angebracht wäre. Um die Effizienz der drei Verteidigungslinien zu erhöhen, muss das Unternehmen die Verantwortung selbst übernehmen. Sind keine freien Kapazitäten da, sollte ein Partner das Unternehmen unterstützen. Egal wie – das Unternehmen muss einen Weg finden das Risiko zu managen. Ein Erfolgsfaktor wäre zum Beisspiel die Erfahrung der Business User. Diese erfahrenen Frauen und Männer kennen die Risiken und aus diesem Pool sollten Sie wichtige Expertise schöpfen.
Das ist ein guter Anfang, aber vielmehr sollten Sie drei Verteidigungslinien etablieren:
Eine einzelne Verteidigungslinie für sich kann die Sicherheitslücken zwar eindämmen, aber niemals vollständig kontrollieren. Nur das Zusammenspiel aller drei erhöht die Effizienz und Effektivität.
Die Veränderungen in denen sich die Unternehmen befinden und die angewachsenen Sicherheitsrisiken sorgen dafür, dass Zugangsrisiken zu Risiken für das Unternehmen werden. Vorbei sind die Zeiten in der die Verantwortung in die Hände der Spezialisten gelegt werden können. An Stelle von einzelnen Spezialisten müssen ganze Teams die Verantwortung übernehmen. GRC Tools entstehen aus einer technischen Perspektive und sind meist nur für Prüfungs- oder Admin Nutzer wirklich verständlich. Für Business User sind diese Tools nicht besonders nutzerfreundlich und ehöht lediglich das Ressentiment. Häufig müssen die Unternehmen geplante Ressourcen für GRC Projekte immens verteidigen, da ein direkter Nutzen selten erkennbar ist. Unternehmen profitieren jedoch bereits ab der ersten Sekunde von solchen Projekten, wie es der Fall Aker Solutions zeigt.
Bereits eine Woche nach der Implementierung von Soterion wurde Aker Solutions von den ersten Ergebnissen überrascht. Nach nur sechs Monaten war Aker Solutions in der Lage die Zugangsrisiken um 85% zu reduzieren. In diesem Prozess konnten viele Aktionäre eingebunden werden und den Vorteil von Soterion kommentiere Senior Vice President for Finance and Compliane folgendermaßen: "Endlich haben wir ein Tool an unserer Seite, dass uns Einblicke und echte Transparenz in unsere Rollen und Bedürfnisse gewährt."
Soterion Technologies entwickelte eine ganze Suite die Sicherheit in einem agilen und unternehmenszentrierten Weg bereitstellt. Das gelingt durch ein einfach zu bedienendes Dashboard und Grafiken mit einer Drill-Down Option. Übersichtliche Prozessabläufe zeigen, wo die Risiken des Prozesses liegen und Regeselsätze und Bereinigunsassistenten sind einfach anzupassen.
Soterions Lösung kann in jedes SAP-System implementiert werden, bei der Größe und Speicherort kein Hinderniss darstellen.
Schon kurz nach der erfolgreichen Implementierung, erfahren die Anwender die ersten Vorteile und verzeichnen somit die erste Reduzierung von Zugangsrisiken. Soterions Fokus liegt auf einer unternehmenszentrierten GRC-Compliance, die den Nutzern ermöglicht, Risiken proaktiv in den Abteilungen zu verwalten. Die Verantwortung wird in die entsprechende Abteilung abgegeben und ermöglicht den Security und Compliance Abteilungen den Fokus auf strategische Themen zu legen. Die Business User wissen welche User welche Regeln für ihre Aufgaben brauchen und passen die Berechtigungen an. Das ist ein erster einfacher, aber sehr effektiver Schritt um GRC im Unternehmen wirklich ernsthaft zu forcieren.
Soterions Regelwerken sind für S/4HANA, Fiori und alle anderen SAP Systeme wie SRM und CRM geeignet. SoD-Konflikte werden in dieser Lösung aufgedeckt. Das einfache und innovative Regelwerk unterstützt Sie bei der Einhaltung aller datenschutzrichtlinen wie der DSGVO.
Effektives GRC misst sich daran, wie gut die Business User ihre Zugangskontrolle durchführen können. Mit dem Übergang der Unternehmen zu S/4 wird die Sicherheit immer komplexer. Es ist wichtig, dass Unternehmen unternehmensorientiertes GRC implementieren, um sowohl geschäftliche als auch technologische Veränderungen bewältigen zu können. Diese bringen unweigerlich zusätzliche Komplexitätsebenen mit sich. Holen Sie sich eine kostenlose SAP-Risikobewertung, um Ihre Reise zu beginnen.