Soterions Bericht über GRC-Trends – eine neue GRC-Ära für SAP-Kunden

Da Unternehmen, die mit SAP arbeiten, große digitale Transformationsprojekte durchführen, einschließlich der Umstellung auf SAP S/4HANA, müssen Kunden zunehmend dafür sorgen, ihre Daten angesichts der sich rasch weiterentwickelnden Geschäftsprozesse zu schützen.

Sicherheitsvorfälle wie Cyberangriffe und Datenbetrug haben in den letzten zehn Jahren zugenommen. Die finanziellen und rufschädigenden Folgen können für die betroffenen Unternehmen erheblich sein. Die Notwendigkeit, die Sicherheit zu erhöhen, liegt also auf der Hand.

Da sich Prüfungsunternehmen und Aufsichtsbehörden zunehmend auf SAP-Kontrollumgebungen konzentrieren und strenge Maßnahmen zur Gewährleistung der Compliance auferlegen, ist es wichtiger denn je, dass Kunden Schritte zur Sicherung ihrer SAP-Umgebungen unternehmen und geeignete GRC-Maßnahmen (Government, Risiko und Compliance) ergreifen, um ihre Zukunft zu sichern.

Soterion ist mit seinen geschäftsorientierten GRC-Lösungen darauf spezialisiert, Unternehmen dabei zu helfen, ihr Zugriffsrisikomanagement effektiver zu gestalten. Kürzlich hat Soterion einen Bericht über GRC-Trends mit dem Titel A New Era of GRC for SAP Customers veröffentlicht. In diesem Bericht, den Sie hier in voller Länge lesen können, erläutern wir vier zentrale Erkenntnisse und Prognosen, die voraussichtlich die Zukunft von GRC für Unternehmen, die SAP einsetzen, prägen werden.

1. Knappheit an qualifizierten SAP-Sicherheitsressourcen kann die Risikoexposition erhöhen.

Die erwartete Zunahme der SAP-Sicherheitskomplexität in Verbindung mit dem weltweiten Fachkräftemangel kann das Risiko von Unternehmen erhöhen, da sie sich schwertun, ausreichend qualifizierte SAP-Sicherheitsressourcen zu finden.

Das ohnehin schon anspruchsvolle Management von SAP-Berechtigungen wird durch erhebliche Änderungen bei der Sicherheitsverwaltung in SAP S/4HANA (Fiori Catalogs, Spaces, Pages usw.) weiter erschwert. Diese zusätzliche Komplexität kann dazu führen, dass minderwertige Rollendesigns und Rollenmethodologien implementiert werden, und/oder dass empfohlen wird, Standardgeschäftsrollen zu verwenden. Folglich kann es dazu kommen, dass SAP-Benutzern ein breiter und unangemessener Zugriff zugewiesen wird.

Die zusätzliche Komplexität des Sicherheitsmanagements in SAP S/4HANA bedeutet, dass es jetzt noch länger dauert, eine entsprechend kompetente SAP-Sicherheitsressource zu schulen. Hinzu kommt, dass viele Projekte aufgrund der Home-Office-Richtlinien durch Fernzugriff bearbeitet werden. Das kann sich negativ auf den Weiterbildungs-/Lernprozess auswirken.

2. Das Streben nach standardisierten Geschäftsprozessen wird zur Ausweitung des Zugriffs führen.

Inmitten des Vorstoßes zur Einführung von Standard-Geschäftsprozessen und vordefinierten Rollen sind Unternehmen möglicherweise gezwungen, Benutzern mehrere Standard-Geschäftsrollen zuzuweisen. Dadurch wird der Zugriff erweitert und das Unternehmensrisiko wird größer.

Da SAP einen Fit-to-Standard-Ansatz verfolgt, damit seine Kunden den größtmöglichen Nutzen aus ihrer Investition in die SAP-Technologie ziehen können, sind Unternehmen mit einzigartigen Geschäftsprozessen und Anforderungen möglicherweise nicht gut für vordefinierte Geschäftsrollen geeignet. Um potenzielle betriebliche Engpässe zu vermeiden, werden den Benutzern mehrere Geschäftsrollen zugewiesen, damit sie den erforderlichen Zugriff haben, um alle ihre Funktionen auszuführen. Das kann jedoch dazu führen, dass die Zugriffsrechte unnötig weit gefasst sind. Damit steigt das Betrugsrisiko im Unternehmen.

3. Mit zunehmender Cloud-Nutzung verschwimmt die Klarheit über die Eigentumsverhältnisse und die Risikoexposition.

Die zunehmende Nutzung von Cloud-Lösungen bringt zusätzliche Sicherheitsherausforderungen mit sich, denn alle diese Lösungen haben sehr unterschiedliche Sicherheitskonzepte. Zugangskontrolllösungen sind oft nicht in der Lage, bei Cloud-Lösungen eine umfassende Analyse des Zugangsrisikos durchzuführen. Daher müssen Sicherheitsteams unbedingt die Sicherheitsprotokolle für alle in ihrem Unternehmen verwendeten Lösungen kennen und über die Ressourcen verfügen, um sie effektiv zu verwalten.

SAP bietet den Kunden Anreize für den Übergang zum SAP-Cloud-Hosting via RISE. Darin sieht Soterion auch Herausforderungen in Bezug auf die Eigentumsverhältnisse und die Zuständigkeiten für verschiedene Aktivitäten kommen: von der grundlegenden Systemverwaltung bis zur Sicherheit zwischen SAP- und RISE-Kunden.

4. Das Aufkommen des hybriden IAM/GRC-Modells.

Beim Abwägen der Vorteile von Lösungen für das Identitäts- und Zugriffsmanagement (IAM) und Governance, Risiko und Compliance (GRC), werden immer mehr Unternehmen ein hybrides Modell in Betracht ziehen, das die Stärken beider Systeme nutzt.

Zwar gibt es IAM-Lösungen zur Verwaltung von Identitäten in einer IT-Umgebung, die Arbeitsabläufe, Bereitstellung und Benutzerzugriff ermöglichen, doch viele dieser Lösungen sind nicht in der Lage, den SAP-Zugriff auf einer detaillierten oder technischen Ebene zu analysieren oder die Risikoauswirkungen zugewiesener Rollen zu bewerten. Zur Definition von Geschäftsrollen könnten Unternehmen daher geneigt sein, eher GRC-Lösungen in Betracht zu ziehen, die besser in der Lage sind, detaillierte Risikoinformationen anzuzeigen.

Soterions Bericht zeigt die Tatsache auf, dass die Migration auf SAP S/4HANA nicht nur ein technologisches Upgrade bedeutet, sondern auch eine erhebliche Verlagerung in Abläufen und Kontrolle. Daher ist es von entscheidender Bedeutung, dass Unternehmen, die SAP einsetzen, die Sicherheit in den Mittelpunkt der Planung und Durchführung von Projekten stellen, damit die Geschäftsanwender die Zukunft ihrer SAP-Umgebungen sicher und verantwortungsbewusst navigieren können.

» Laden Sie den Trendbericht von Soterion hier herunter.

Ein Advertorial von: