2. 2
Kennen Sie diese Probleme?
▪ Ihre Berechtigungstests brauchen zu viel Zeit?
▪ Der Fachbereich hat nicht die Zeit für
Berechtigungstests?
▪ Sie kennen Ihre Risiken nicht?
▪ Wissen Sie, was mit ihren techn. Usern möglich ist?
▪ Haben Sie zu viele Rollen? Und Rollen, die nicht mehr
verwendet werden sollten?
Wir auch. Und genau dafür gibt es Q-SEC.
3. Q-SEC Suite – perfekte Komponenten für zentrale Aufgaben
3
Abgleich der Rollen und Rechte
gegen Anforderungen aus
Compliance und Governance.
Effizienter indirekter Test im Hintergrund
durch Trusted Go Live Ansatz.
Bereinigung von Rollen und Berechti-
gungen.
Sichere und effiziente
Prüfung auf Risiken.
Minimierung Testaufwände
um 80%.
Effizientes Löschen alter
Berechtigungen und Rollen.
4. Q-SEC Suite
4
3 Komponenten für die zentralen Aufgaben in der SAP Security
Q-SEC/SoD (Segregation of Duty) ist die Lösung
für den Abgleich der Rollen und Rechte gegen
Anforderungen aus Compliance und Governance
auf Basis von SoD Matrizen.
Q-SEC/TGL (Trusted Go Live) ist die Lösung
für einen effizienten Test und eine effiziente
Einführung neuer Rollen und Rechte. Der
Testaufwand wird dadurch deutlich reduziert.
Q-SEC/CleanUP ist die Lösung für die
Bereinigung von Rollen und Berech-
tigungen weit über den SAP Standard
hinaus.
Clean
Up
TGL
SoD
6. Q-SEC: Die Suite für SAP Security
− Nutzung unterschiedlicher Risikomatrizen
− Verschiede Speichermöglichkeiten
− Zentral ausführbar
− Analyse auf User- und Rollenebene
− Vorteile:
− Sehr schnelle Analysen
− Schnell einsatzbereit
− Leicht zu bedienen
− Verschieden Kritikalitäten:
− Critical Action
− Critical Permission
− Critical Function
− SoD - Segregation of Duty
6
Q–SEC/SoD
7. Q-SEC/SoD
7
Import einer temporären SoD – Matrix für
eine schnelle und einmalige Analyse.
Import von SoD – Matrizen die im SAP
System hinterlegt werden, für die
dauerhafte Analyse.
SoD - Matrix
Die Analyseergebnisse können auf unter-
schiedliche Arten dargestellt werden:
− Direkte Bildschirmausgabe
− Spoolauftrag (Background Job)
− In der Datenbank speichern (Background
Job)
Ausgabe
User können einzeln oder durch einen
Wertebereich ausgewählt werden.
User
Rollen können einzeln oder durch
einen Wertebereich ausgewählt werden,
ebenfalls ist es möglich Rollen in Kombi-
ation oder unabhängig voneinander zu
analysieren.
Rollen
9. Q-SEC/TGL
Trusted Go-live Methode
1. Phase
Analyse des IST Zustandes und Konzipierung
2. Phase
Entwicklung des Berechtigungskonzeptes
3. Phase
Entwicklung der Berechtigungsrollen
4. Phase
Trusted Go-live
In Phase 1 analysieren wir den IST Zustand ihrer
Systeme, nehmen Gegebenheiten auf und
unterbreiten erste Verbesserungsvorschläge für den
Bereich Berechtigungswesen.
Meilensteine: Ist-Analyse, Zustandsbericht
In Phase 3 werden aus dem Berechtigungskonzept
definierte und beschriebene Berechtigungsrollen
entwickelt und für die jeweiligen Standorte
abgeleitet.
Meilensteine: Referenz-, Ableitungs- und
Sammelrollen
Um das oberste Ziel des Projektes, die Einführung
eines Berechtigungskonzeptes nach den
Compliance Vorgaben ohne Beeinflussung des
Daily Business zu erreichen, führen wir einen
Trusted Go-live mit stetiger Verbesserung durch.
Meilensteine: Go-live ohne Störungen
Entwicklung eines Berechtigungskonzepts mit
Anforderungen der jeweiligen Abteilungen und
Standorte, ebenso wie Compliance Vorgaben ihres
Unternehmens an die Zukünftigen Berechtigungen.
Meilensteine: Berechtigungskonzept
9
10. Q-SEC: The Suite für SAP Security
− Auswertung genutzter Transaktionen
− Massenfunktionalitäten
− Anlage von Rollen
− Zuweisung von Berechtigungen
− Anlage von Usern
− Update Funktionalitäten für Rollen
− Trusted GoLive
10
Q–SEC/TGL
11. Q-SEC/TGL
11
Trusted Go-live Methode
MitarbeiterT-Code
MM01
Aufruf
MM01
Aufruf
MM01
1
2
SU53
Screenshot
Abstimmung der Experten
Anpassung der SAP
Rolle oder Erstellen
einer neuen Rolle
Transport
und/oder
Zuweisung einer
neuen Rolle
FallBack - User
1
2
7
8
3
4
5
6
1
2 3
Mit Q-SEC/TGL ist der Fallback-User ist dem normalen User
zugeordnet und agiert als Auffangbecken, sodass fehlende
Berechtigungen mit Hilfe seiner alten Rollen aufgefangen und
die Fehler mitgeloggt werden. Die fehlende Berechtigung ist
somit für den Endanwender nicht spürbar, er bleibt arbeitsfähig.
Ausgangsszenario
Der Endanwender benutzt für sein Daily Business die Transaktion MM01.
Annahme in diesem Beispiel: Ein neues Berechtigungskonzept wird ausgerollt, die
User erhalten neue Rollen, der Endanwender kann mit der neuen Rolle MM01
nicht mehr aufrufen.
Wird beim Rollout dem User lediglich die neue
Rolle zugewiesen, so muss die Rolle angepasst
werden, transportiert oder eine neue Rolle zuge-
wiesen werden. In dieser Zeit müssen schnell
Lösungen gefunden werden. Konsequenz ohne
Q-SEC/TGL-Funktionalitäten: der User ist zeit-
weilig nicht vollständig arbeitsfähig.
13. Q-SEC/Clean Up
− Massenlöschen von Rollen
− Direkt auf den jeweiligen Systemen
− Erstellung von Löschtransporten
− Download von Einzelrollen
− Der Massendownload von Einzelrollen in einzelne Dateien
13
Stabilisierungsanalyse
14. Q-SEC
14
Why Q-SEC?
Analyse auf kritische
Berechtigungen in ihrem
System, „get clean and
stay clean“
Reduktion der
Testaufwände und ein
Go-live ohne bewusste
Defects für ihre
Mitarbeiter
Funktionen die die
Bereinigung ihres
Systems unterstützen
und beschleunigen
Q-SEC