Revisionssicheres Berechtigungskonzept toolgestützt generieren und überwachen
Autor: Jonas Krüger | 6. Februar 2018
Die etablierten Abläufe zur Berechtigungsverwaltung, Rollenbeantragung und -zuteilung sind in Ihrem Unternehmen gar nicht oder nicht an einer zentralen Stelle dokumentiert? In der Revision ist aufgefallen, dass ein schriftliches Berechtigungskonzept nicht existiert, nicht aktuell ist oder die Prozesse nicht den Anforderungen entsprechen? Regelmäßig wenden sich Kunden mit einem derartigen Fall an uns.
Die Erstellung eines Berechtigungskonzepts von Grund auf ist häufig eine zeitraubende Aufgabe. Weiterhin fehlt oft das Know-how, welche Aspekte in einem Berechtigungskonzept behandelt werden sollten und wie die entsprechenden Prozesse praxistauglich und gleichzeitig revisionssicher aussehen können.
Neues SAP Berechtigungskonzept vom führenden SAP-Security Berater
Wir helfen SAP Kunden, ein neues Berechtigungskonzept einzuführen, dass den Prüfer zufriedenstellt und im Betrieb reibungslos funktioniert.
Unsere Lösung: toolgestützte Generierung eines individuellen, schriftlichen Berechtigungskonzepts
Unseren Kunden haben wir in dieser Situation die toolgestützte Generierung eines schriftlichen Berechtigungskonzepts direkt aus dem SAP-System heraus empfohlen. Hierzu verwenden wir das Werkzeug XAMS Security Architect, mit dem wir gute Erfahrungen gemacht haben. Dieses beinhaltet ein Template für ein revisionssicheres und verständliches, schriftliches Berechtigungskonzept. Darin enthalten sind etablierte Best-Practices für die Rollen- und Berechtigungsverwaltung. Durch das Template werden alle in einem Berechtigungskonzept relevanten Bereiche abgedeckt.
Der mitgelieferte Text des Berechtigungskonzeptes ist vollständig individualisierbar, sodass das Konzept passgenau auf Ihre Situation zugeschnitten werden kann, ohne ein Berechtigungskonzept von Grund auf neu zu erstellen.
Schriftliches Berechtigungskonzept dynamisch aktualisieren
Eine der größten Herausforderungen nach dem Aufbau eines Berechtigungskonzepts ist es, dieses auch langfristig aktuell zu halten und die nachhaltige Umsetzung im System zu messen. Dies erreichen wir durch die Einbindung von Live-Daten wie Konfigurationseinstellungen und definierten Regelwerken direkt aus dem angeschlossenen System. So werden beispielsweise Listen vorhandener Rollen oder Benutzergruppen sowie Tabellen bei jeder Generierung des Dokuments aus dem System ausgelesen und im Berechtigungskonzept aktualisiert. Im folgenden Screenshot können Sie beispielhaft sehen, wie die Darstellung im Konzeptdokument aussehen kann.
Einhaltung des Konzepts automatisiert prüfen und überwachen
Um die Einhaltung des Konzepts zu prüfen beinhaltet der XAMS Security Architect umfangreiche Prüfwerkzeuge. Diese decken die im Konzept formulierten Regelungen ab und eignen sich, um zu messen, in wieweit die Realität im System den im Konzept formulierten Anforderungen entspricht. Die Ergebnisse der Prüfungen können dokumentiert werden, sodass die Entwicklung über einen Zeitraum betrachtet werden kann. So kommen Sie der Revision zuvor und sind für die relevanten Punkte bereits vor der Prüfung sensibilisiert.
Haben Sie bereits ein schriftliches Berechtigungskonzept für Ihr System toolgestützt generiert? Teilen Sie gerne Ihre Erfahrungen in einem Kommentar oder einer E-Mail mit mir. Ich freue mich auf Ihre Nachricht.
