Security & Control/GRC

De Tips & Tricks met het aandachtsgebied 'Security & Control/GRC' worden verzorgd door:

Afbeelding

Ga wildgroei van SAP GRC Access Control 10.1 Access Request templates tegen
Juni 2017
Bij het gebruik van SAP GRC Access Control (GRC AC) 10.1 heeft momenteel iedere gebruiker, die toegang heeft tot het Access Management > Access Request Administration > Template Management menu, de mogelijkheid om alle aanwezige templates (aanvraagformulieren) te onderhouden, te verwijderen of aan te maken.
Lees verder

Van SAP_NEW profiel naar SAP_NEW autorisatierol
Maart 2017
Als u uw SAP ECC systeem wilt upgraden, is één van de standaardactiviteiten tijdens deze upgrade het uitvoeren van transactiecode SU25 (Profile Generator - upgrade en eerste installatie). Voordat u echter wilt upgraden naar ECC 7.40 en deze transactie uitvoert, raden wij aan om het SAP_NEW profiel om te zetten naar een SAP_NEW autorisatierol, omdat dit een aantal voordelen biedt. Bekijk de uitgebreide tip om te lezen wat de voordelen hiervan zijn en hoe u deze omzetting kunt uitvoeren.
Lees verder

Continue Data Monitoring met SAP Fraud Management
December 2016
In 2014 schreven wij voor het laatst over SAP Fraud Management. Vandaag de dag zijn er aanvullende functionaliteiten toegevoegd en kan Fraud Management zelfs vanuit een breder perspectief worden beschouwd. Naar onze mening biedt Fraud Management meer dan alleen fraudedetectie functionaliteit en kan het tevens worden ingezet voor het monitoren van data op continue basis. De gedachte achter het monitoren van data op continue basis is dat de data zo vanuit diverse invalshoeken (bijvoorbeeld vanuit “opbrengsten- en kosten optimalisatie” optiek) geanalyseerd kan worden. Met behulp van deze analyses kunnen verbeteringen in zowel de bedrijfsvoering als voor interne controleafdelingen worden doorgevoerd.
Lees verder

Heeft u al nagedacht ov er het risico van service gebruikers? 
September 2016
Met een service gebruiker kan, net als met een dialoog gebruiker (gebruikerstype A), direct worden ingelogd op uw SAP systeem. Er kan met een service gebruiker echter ook meerdere keren tegelijkertijd worden ingelogd en het wachtwoord verloopt niet, zelfs als de relevante systeemparameters juist zijn ingesteld. Als u daarbij tevens in acht neemt dat service gebruikers vaak generieke user IDs zijn die niet zijn terug te leiden tot een individuele gebruiker, dan concludeert u waarschijnlijk ook dat service gebruikers een direct risico vormen voor uw SAP systeem.
Lees verder

Dummy waarden in organisatorische velden voor SAP autorisatierollen
juni 2016
Wanneer een autorisatieconcept ontworpen wordt, kan de volgende vraag ineens heel relevant worden: “Waarom is het gebruik van een dummy waarde voor organisatorische velden in SAP autorisatierollen in sommige gevallen de beste oplossing?” Het antwoord op deze vraag is tweeledig. Wij zullen dieper ingaan op de redenen voor het hebben van dummy waarden voor organisatorische velden in SAP autorisatierollen.
Lees verder

Het risico van onjuist ingestelde niet-productieve omgevingen voor uw productieve omgeving
maart 2016
Traditioneel gezien focust uw accountant/IT-auditor zich op de productieve omgeving van uw SAP landschap. In sommige gevallen is deze focus echter te nauw. Als namelijk zowel uw niet-productieve als productieve mandanten zich in één SAP omgeving bevinden en de ontwikkelmandant onjuist is ingesteld, dan kan een gebruiker ongewenste wijzigingen aanbrengen in uw productiemandant, ondanks dat deze juist is ingesteld!
Lees verder

Efficiënter en effectiever gebruik maken van de autorisatie trace in SAP
december 2015
Een autorisatie trace wordt gebruikt om te achterhalen welke autorisatiechecks worden uitgevoerd door een programma. Deze kan met transactiecode ST01 worden geactiveerd. Nu is er een ‘nieuwe’ transactiecode die gebruik maakt van de ST01 functionaliteit.
Lees verder

Het gebruik van Visual Basic script in SAP
september 2015
Tijdens onze SAP security werkzaamheden komen we vaak handmatige en repetitieve zaken tegen in zowel gebruikers als autorisatie beheer. Vaak is dit tijdrovend, vervelend en foutgevoelig. Met het gebruik van ‘Visual Basic scripts’ kunnen deze problemen voor een groot deel opgelost worden. Via de opname functie kan automatisch met één voorbeeld een script worden gegenereerd. Met een paar aanpassingen in het Visual Basic script kan het vervolgens geschikt gemaakt worden voor hergebruik. Het loont zich tijd en moeite te steken in het creëren van een script, en het maken van een Visual Basic script is zeker niet moeilijker dan het maken van een LSMW of SECATT.
Lees verder

Zijn uw HR-data nog steeds goed afgeschermd?
juni 2015
Binnen de SAP HR module wordt vooral in de
beheerfase de complexiteit van de autorisatiechecks
onderschat, waardoor te snel autorisaties op basis
van SU53-screenshots worden toegevoegd in rollen.
Gevolg kan zijn dat onbevoegden toegang krijgen
tot privacygevoelige personeelsgegevens. Om die reden is een gedegen
analyse van HR-autorisatie issues vereist vóórdat wijzigingen in rollen
worden doorgevoerd.
Lees verder

BI 7.0/7.3 InfoObject autorisatie relevant maken
maart 2015
Wil men in BI rapportages een dimensie, die gebruikt wordt om te analyseren, ook gaan gebruiken om data af te schermen, dan kan het zijn dat een nieuw infoObject in het data autorisatie concept (ook wel analyse autorisaties genaamd) ingevoerd moet worden. Het autorisatie-relevant maken van dit infoObject kan invloed hebben op het kunnen uitvoeren van bestaande BI rapportages. Het is dan ook raadzaam om van te voren een impactanalyse uit te voeren.
Lees verder

Wachtwoorden in het SAP systeem
december 2014
Geregeld krijgen wij vragen van klanten over het instellen van wachtwoorden in SAP systemen. Dit duidt erop dat de diverse (on)mogelijkheden nog niet bekend zijn bij betrokkenen. Wachtwoorden zijn “de sleutel van het slot op de deur” en vereisen bepaalde “spelregels” waar men zich aan moet houden. Naast de standaard authenticatie mogelijkheden kunnen extra maatregelen getroffen worden om ongeoorloofde toegang of misbruik te voorkomen. Lees verder op de website wat u kunt met bepaalde parameters en welke SAP notes van belang zijn.
Lees verder

Voorkom functiescheidingsconflicten binnen rollen
september 2014
Aan functiescheidingsconflicten zijn risico’s verbonden. In de praktijk komen deze toch vaak nog voor in de SAP autorisaties van gebruikers. Om dit te voorkomen is het van groot belang dat allereerst de SAP rollen vrij zijn van functiescheidingsconflicten. Immers, functiescheidings-conflicten binnen rollen vermenigvuldigen het aantal op gebruikersniveau aanzienlijk. Binnen een twee-laags autorisatieconcept met taakrollen (enkelvoudige rollen) en functierollen (verzamelrollen) zou daarom altijd het uitgangspunt moeten zijn dat de taak- en functierollen vrij zijn van functiescheidingsconflicten.
Lees verder

Fraud Management & HANA 
juni 2014
SAP Fraud Management biedt interessante mogelijkheden op het gebied van fraude-analyses, procesoptimalisatie en controles. Met behulp van transactionele data-analyse bestaat de mogelijkheid  lacunes binnen uw processen te identificeren. Daarnaast kan met behulp van Fraud Management een aanvullende analyse worden uitgevoerd op preventieve applicatiecontroles waarvan gebleken is dat deze niet 100% garantie bieden. We noemen dit alles ‘Data Driven GRC’ en het wordt ondersteund door HANA technologie.
Lees verder

Controls Monitoring met BW in SAP GRC PC
maart 2014
SAP GRC Process Control (PC) ondersteunt het monitoren van het Control Framework. Naast het gebruik van Continuous Control Monitoring in PC om preventieve maatregelen automatisch te monitoren, kunt u deze functionaliteit ook gebruiken om BW-rapporten te draaien met een sub-scenario op basis van query's in BW: alle relevante compliance-informatie op één locatie!
Lees verder

Partners VNSG

Afbeelding

 AfbeeldingAfbeelding