SlideShare ist ein Scribd-Unternehmen logo

QUANTO Solutions Q-SEC

QUANTO Solutions
QUANTO Solutions

SAP Security at its best with new features for compliance, trusted go live and SoD. See how Q-SEC reduces your test efforts up to 80%!

Software
1 von 15
Downloaden Sie, um offline zu lesen
Experience success. Together. Q-SEC: The Suite for SAP Security 29.10.2018 Effizient und Sicher!
2 Kennen Sie diese Probleme? ▪ Ihre Berechtigungstests brauchen zu viel Zeit? ▪ Der Fachbereich hat nicht die Zeit für Berechtigungstests? ▪ Sie kennen Ihre Risiken nicht? ▪ Wissen Sie, was mit ihren techn. Usern möglich ist? ▪ Haben Sie zu viele Rollen? Und Rollen, die nicht mehr verwendet werden sollten? Wir auch. Und genau dafür gibt es Q-SEC.
Q-SEC Suite – perfekte Komponenten für zentrale Aufgaben 3 Abgleich der Rollen und Rechte gegen Anforderungen aus Compliance und Governance. Effizienter indirekter Test im Hintergrund durch Trusted Go Live Ansatz. Bereinigung von Rollen und Berechti- gungen. Sichere und effiziente Prüfung auf Risiken. Minimierung Testaufwände um 80%. Effizientes Löschen alter Berechtigungen und Rollen.
Q-SEC Suite 4 3 Komponenten für die zentralen Aufgaben in der SAP Security Q-SEC/SoD (Segregation of Duty) ist die Lösung für den Abgleich der Rollen und Rechte gegen Anforderungen aus Compliance und Governance auf Basis von SoD Matrizen. Q-SEC/TGL (Trusted Go Live) ist die Lösung für einen effizienten Test und eine effiziente Einführung neuer Rollen und Rechte. Der Testaufwand wird dadurch deutlich reduziert. Q-SEC/CleanUP ist die Lösung für die Bereinigung von Rollen und Berech- tigungen weit über den SAP Standard hinaus. Clean Up TGL SoD
Q-SEC/SoD Risikoanalyse
Q-SEC: Die Suite für SAP Security − Nutzung unterschiedlicher Risikomatrizen − Verschiede Speichermöglichkeiten − Zentral ausführbar − Analyse auf User- und Rollenebene − Vorteile: − Sehr schnelle Analysen − Schnell einsatzbereit − Leicht zu bedienen − Verschieden Kritikalitäten: − Critical Action − Critical Permission − Critical Function − SoD - Segregation of Duty 6 Q–SEC/SoD
Q-SEC/SoD 7 Import einer temporären SoD – Matrix für eine schnelle und einmalige Analyse. Import von SoD – Matrizen die im SAP System hinterlegt werden, für die dauerhafte Analyse. SoD - Matrix Die Analyseergebnisse können auf unter- schiedliche Arten dargestellt werden: − Direkte Bildschirmausgabe − Spoolauftrag (Background Job) − In der Datenbank speichern (Background Job) Ausgabe User können einzeln oder durch einen Wertebereich ausgewählt werden. User Rollen können einzeln oder durch einen Wertebereich ausgewählt werden, ebenfalls ist es möglich Rollen in Kombi- ation oder unabhängig voneinander zu analysieren. Rollen
Q-SEC/TGL Trusted Go-live
Q-SEC/TGL Trusted Go-live Methode 1. Phase Analyse des IST Zustandes und Konzipierung 2. Phase Entwicklung des Berechtigungskonzeptes 3. Phase Entwicklung der Berechtigungsrollen 4. Phase Trusted Go-live In Phase 1 analysieren wir den IST Zustand ihrer Systeme, nehmen Gegebenheiten auf und unterbreiten erste Verbesserungsvorschläge für den Bereich Berechtigungswesen. Meilensteine: Ist-Analyse, Zustandsbericht In Phase 3 werden aus dem Berechtigungskonzept definierte und beschriebene Berechtigungsrollen entwickelt und für die jeweiligen Standorte abgeleitet. Meilensteine: Referenz-, Ableitungs- und Sammelrollen Um das oberste Ziel des Projektes, die Einführung eines Berechtigungskonzeptes nach den Compliance Vorgaben ohne Beeinflussung des Daily Business zu erreichen, führen wir einen Trusted Go-live mit stetiger Verbesserung durch. Meilensteine: Go-live ohne Störungen Entwicklung eines Berechtigungskonzepts mit Anforderungen der jeweiligen Abteilungen und Standorte, ebenso wie Compliance Vorgaben ihres Unternehmens an die Zukünftigen Berechtigungen. Meilensteine: Berechtigungskonzept 9
Q-SEC: The Suite für SAP Security − Auswertung genutzter Transaktionen − Massenfunktionalitäten − Anlage von Rollen − Zuweisung von Berechtigungen − Anlage von Usern − Update Funktionalitäten für Rollen − Trusted GoLive 10 Q–SEC/TGL
Q-SEC/TGL 11 Trusted Go-live Methode MitarbeiterT-Code MM01 Aufruf MM01 Aufruf MM01 1 2 SU53 Screenshot Abstimmung der Experten Anpassung der SAP Rolle oder Erstellen einer neuen Rolle Transport und/oder Zuweisung einer neuen Rolle FallBack - User 1 2 7 8 3 4 5 6 1 2 3 Mit Q-SEC/TGL ist der Fallback-User ist dem normalen User zugeordnet und agiert als Auffangbecken, sodass fehlende Berechtigungen mit Hilfe seiner alten Rollen aufgefangen und die Fehler mitgeloggt werden. Die fehlende Berechtigung ist somit für den Endanwender nicht spürbar, er bleibt arbeitsfähig. Ausgangsszenario Der Endanwender benutzt für sein Daily Business die Transaktion MM01. Annahme in diesem Beispiel: Ein neues Berechtigungskonzept wird ausgerollt, die User erhalten neue Rollen, der Endanwender kann mit der neuen Rolle MM01 nicht mehr aufrufen. Wird beim Rollout dem User lediglich die neue Rolle zugewiesen, so muss die Rolle angepasst werden, transportiert oder eine neue Rolle zuge- wiesen werden. In dieser Zeit müssen schnell Lösungen gefunden werden. Konsequenz ohne Q-SEC/TGL-Funktionalitäten: der User ist zeit- weilig nicht vollständig arbeitsfähig.
Q-SEC/Clean Up Stay Clean
Q-SEC/Clean Up − Massenlöschen von Rollen − Direkt auf den jeweiligen Systemen − Erstellung von Löschtransporten − Download von Einzelrollen − Der Massendownload von Einzelrollen in einzelne Dateien 13 Stabilisierungsanalyse
Q-SEC 14 Why Q-SEC? Analyse auf kritische Berechtigungen in ihrem System, „get clean and stay clean“ Reduktion der Testaufwände und ein Go-live ohne bewusste Defects für ihre Mitarbeiter Funktionen die die Bereinigung ihres Systems unterstützen und beschleunigen Q-SEC
©2018 QUANTO Vielen Dank. Wir freuen uns auf die zukünftige Zusammenarbeit mit Ihnen und stehen bei Fragen gerne zur Verfügung: Ansprechpartner Sebastian Winkelhofer Manager T +49 151 205 06132 M Sebastian.Winkelhofer@quanto-group.de Adresse QUANTO Solutions GmbH Breitwiesenstraße 19 70565 Stuttgart T +49 711 88 25 93 72 M QS-INFO@quanto-group.de W www.quanto-solutions.de

Empfohlen

Scrum Workshop
Scrum WorkshopScrum Workshop
Scrum Workshopmrdoubleb
 
Definition of Ready
Definition of ReadyDefinition of Ready
Definition of ReadyMarkus Unterauer
 
Scrum
ScrumScrum
Scrumbambo1543
 
OptaPlanner hilft bei verteilten Schulstandorten
OptaPlanner hilft bei verteilten SchulstandortenOptaPlanner hilft bei verteilten Schulstandorten
OptaPlanner hilft bei verteilten SchulstandortenTorsten Fink
 
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...Markus Unterauer
 
Scrum Rocks, Testing Sucks ?! RELOADED
Scrum Rocks, Testing Sucks ?! RELOADEDScrum Rocks, Testing Sucks ?! RELOADED
Scrum Rocks, Testing Sucks ?! RELOADEDSwissQ Consulting AG
 
Specification by example
Specification by exampleSpecification by example
Specification by exampleMarkus Unterauer
 
Referat: Scrum Rocks – Testing Sucks?! (reloaded)
Referat: Scrum Rocks – Testing Sucks?! (reloaded)Referat: Scrum Rocks – Testing Sucks?! (reloaded)
Referat: Scrum Rocks – Testing Sucks?! (reloaded)Digicomp Academy AG
 

Empfohlen

Scrum Workshop
Scrum WorkshopScrum Workshop
Scrum Workshopmrdoubleb
 
Definition of Ready
Definition of ReadyDefinition of Ready
Definition of ReadyMarkus Unterauer
 
Scrum
ScrumScrum
Scrumbambo1543
 
OptaPlanner hilft bei verteilten Schulstandorten
OptaPlanner hilft bei verteilten SchulstandortenOptaPlanner hilft bei verteilten Schulstandorten
OptaPlanner hilft bei verteilten SchulstandortenTorsten Fink
 
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...
Rückwärts denken vorwärts handeln - Requirements Reverse Engineering bei Syst...Markus Unterauer
 
Scrum Rocks, Testing Sucks ?! RELOADED
Scrum Rocks, Testing Sucks ?! RELOADEDScrum Rocks, Testing Sucks ?! RELOADED
Scrum Rocks, Testing Sucks ?! RELOADEDSwissQ Consulting AG
 
Specification by example
Specification by exampleSpecification by example
Specification by exampleMarkus Unterauer
 
Referat: Scrum Rocks – Testing Sucks?! (reloaded)
Referat: Scrum Rocks – Testing Sucks?! (reloaded)Referat: Scrum Rocks – Testing Sucks?! (reloaded)
Referat: Scrum Rocks – Testing Sucks?! (reloaded)Digicomp Academy AG
 
Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...
Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...
Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...Joscha Jenni
 
Requirements Engineering in agilen Projekten - Flexibilität ist gefordert
Requirements Engineering in agilen Projekten - Flexibilität ist gefordertRequirements Engineering in agilen Projekten - Flexibilität ist gefordert
Requirements Engineering in agilen Projekten - Flexibilität ist gefordertGFU Cyrus AG
 
Agilität mit Scrum - Überblick
Agilität mit Scrum - ÜberblickAgilität mit Scrum - Überblick
Agilität mit Scrum - ÜberblickClaudia Haußmann 🦋
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...NETWAYS
 
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißReal Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißOPITZ CONSULTING Deutschland
 
Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017
Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017
Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017Torsten Kleiber
 
Mit ITIL® die Effizienz steigern in SAP-Umgebungen
Mit ITIL® die Effizienz steigern in SAP-UmgebungenMit ITIL® die Effizienz steigern in SAP-Umgebungen
Mit ITIL® die Effizienz steigern in SAP-UmgebungenDigicomp Academy AG
 
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungOSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungNETWAYS
 
Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...
Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...
Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...Intelliact AG
 
Agile Vorgehensmodelle in der Softwareentwicklung: Scrum
Agile Vorgehensmodelle in der Softwareentwicklung: ScrumAgile Vorgehensmodelle in der Softwareentwicklung: Scrum
Agile Vorgehensmodelle in der Softwareentwicklung: ScrumJohannes Diemke
 
Eclipse Magazin 12 - Security does matter
Eclipse Magazin 12 - Security does matterEclipse Magazin 12 - Security does matter
Eclipse Magazin 12 - Security does matterHeiko Seeberger
 
Einführung in SCRUM
Einführung in SCRUMEinführung in SCRUM
Einführung in SCRUMSandro Sonntag
 
Policy Driven Microservices mit Open Policy Agent
Policy Driven Microservices mit Open Policy AgentPolicy Driven Microservices mit Open Policy Agent
Policy Driven Microservices mit Open Policy AgentQAware GmbH
 
Best Practices für TDD in JavaScript
Best Practices für TDD in JavaScriptBest Practices für TDD in JavaScript
Best Practices für TDD in JavaScriptSebastian Springer
 
Funktionale Reaktive Programmierung mit Sodium
Funktionale Reaktive Programmierung mit SodiumFunktionale Reaktive Programmierung mit Sodium
Funktionale Reaktive Programmierung mit SodiumTorsten Fink
 
JPA – Der Persistenz-­Standard in der Java EE und SE
JPA – Der Persistenz-­Standard in der Java EE und SEJPA – Der Persistenz-­Standard in der Java EE und SE
JPA – Der Persistenz-­Standard in der Java EE und SEhwilming
 
Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)
Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)
Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)Stefan ROOCK
 
So klappt’s: Qualitätsziele erreichen durch kontrollierte Absicherung
So klappt’s: Qualitätsziele erreichen durch kontrollierte AbsicherungSo klappt’s: Qualitätsziele erreichen durch kontrollierte Absicherung
So klappt’s: Qualitätsziele erreichen durch kontrollierte AbsicherungRalf Bongard
 
Murcs
MurcsMurcs
MurcsUlf Mewe
 
Lean development 04
Lean development 04Lean development 04
Lean development 04SuperB2
 

Weitere ähnliche Inhalte

Ähnlich wie QUANTO Solutions Q-SEC

Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...
Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...
Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...Joscha Jenni
 
Requirements Engineering in agilen Projekten - Flexibilität ist gefordert
Requirements Engineering in agilen Projekten - Flexibilität ist gefordertRequirements Engineering in agilen Projekten - Flexibilität ist gefordert
Requirements Engineering in agilen Projekten - Flexibilität ist gefordertGFU Cyrus AG
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...NETWAYS
 
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißReal Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißOPITZ CONSULTING Deutschland
 
Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017
Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017
Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017Torsten Kleiber
 
Mit ITIL® die Effizienz steigern in SAP-Umgebungen
Mit ITIL® die Effizienz steigern in SAP-UmgebungenMit ITIL® die Effizienz steigern in SAP-Umgebungen
Mit ITIL® die Effizienz steigern in SAP-UmgebungenDigicomp Academy AG
 
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungOSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungNETWAYS
 
Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...
Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...
Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...Intelliact AG
 
Agile Vorgehensmodelle in der Softwareentwicklung: Scrum
Agile Vorgehensmodelle in der Softwareentwicklung: ScrumAgile Vorgehensmodelle in der Softwareentwicklung: Scrum
Agile Vorgehensmodelle in der Softwareentwicklung: ScrumJohannes Diemke
 
Eclipse Magazin 12 - Security does matter
Eclipse Magazin 12 - Security does matterEclipse Magazin 12 - Security does matter
Eclipse Magazin 12 - Security does matterHeiko Seeberger
 
Policy Driven Microservices mit Open Policy Agent
Policy Driven Microservices mit Open Policy AgentPolicy Driven Microservices mit Open Policy Agent
Policy Driven Microservices mit Open Policy AgentQAware GmbH
 
Best Practices für TDD in JavaScript
Best Practices für TDD in JavaScriptBest Practices für TDD in JavaScript
Best Practices für TDD in JavaScriptSebastian Springer
 
Funktionale Reaktive Programmierung mit Sodium
Funktionale Reaktive Programmierung mit SodiumFunktionale Reaktive Programmierung mit Sodium
Funktionale Reaktive Programmierung mit SodiumTorsten Fink
 
JPA – Der Persistenz-­Standard in der Java EE und SE
JPA – Der Persistenz-­Standard in der Java EE und SEJPA – Der Persistenz-­Standard in der Java EE und SE
JPA – Der Persistenz-­Standard in der Java EE und SEhwilming
 
Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)
Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)
Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)Stefan ROOCK
 
So klappt’s: Qualitätsziele erreichen durch kontrollierte Absicherung
So klappt’s: Qualitätsziele erreichen durch kontrollierte AbsicherungSo klappt’s: Qualitätsziele erreichen durch kontrollierte Absicherung
So klappt’s: Qualitätsziele erreichen durch kontrollierte AbsicherungRalf Bongard
 
Lean development 04
Lean development 04Lean development 04
Lean development 04SuperB2
 

Ähnlich wie QUANTO Solutions Q-SEC (20)

Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...
Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...
Lust, Last, List? Ein Scrum Projekt reflektiert von Product Owner, Scrum Mast...
 
Requirements Engineering in agilen Projekten - Flexibilität ist gefordert
Requirements Engineering in agilen Projekten - Flexibilität ist gefordertRequirements Engineering in agilen Projekten - Flexibilität ist gefordert
Requirements Engineering in agilen Projekten - Flexibilität ist gefordert
 
Agilität mit Scrum - Überblick
Agilität mit Scrum - ÜberblickAgilität mit Scrum - Überblick
Agilität mit Scrum - Überblick
 
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
OSMC 2013 | Enterprise Platforms Monitoring at s IT Solutions AT by Johannes ...
 
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon DickmeißReal Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
Real Application Testing - DOAG SIG Database 2010 - Simon Dickmeiß
 
Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017
Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017
Plsql drum test automatisiere, wer sich sich ewig bindet! - DOAG 2017
 
Mit ITIL® die Effizienz steigern in SAP-Umgebungen
Mit ITIL® die Effizienz steigern in SAP-UmgebungenMit ITIL® die Effizienz steigern in SAP-Umgebungen
Mit ITIL® die Effizienz steigern in SAP-Umgebungen
 
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer JungOSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
OSMC 2010 | Java Monitoring und Troubleshooting by Rainer Jung
 
Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...
Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...
Plm Open Hours - Detailkonzepte welcher Art führen zu erfolgreichen Implement...
 
Agile Vorgehensmodelle in der Softwareentwicklung: Scrum
Agile Vorgehensmodelle in der Softwareentwicklung: ScrumAgile Vorgehensmodelle in der Softwareentwicklung: Scrum
Agile Vorgehensmodelle in der Softwareentwicklung: Scrum
 
Eclipse Magazin 12 - Security does matter
Eclipse Magazin 12 - Security does matterEclipse Magazin 12 - Security does matter
Eclipse Magazin 12 - Security does matter
 
Einführung in SCRUM
Einführung in SCRUMEinführung in SCRUM
Einführung in SCRUM
 
Policy Driven Microservices mit Open Policy Agent
Policy Driven Microservices mit Open Policy AgentPolicy Driven Microservices mit Open Policy Agent
Policy Driven Microservices mit Open Policy Agent
 
Best Practices für TDD in JavaScript
Best Practices für TDD in JavaScriptBest Practices für TDD in JavaScript
Best Practices für TDD in JavaScript
 
Funktionale Reaktive Programmierung mit Sodium
Funktionale Reaktive Programmierung mit SodiumFunktionale Reaktive Programmierung mit Sodium
Funktionale Reaktive Programmierung mit Sodium
 
JPA – Der Persistenz-­Standard in der Java EE und SE
JPA – Der Persistenz-­Standard in der Java EE und SEJPA – Der Persistenz-­Standard in der Java EE und SE
JPA – Der Persistenz-­Standard in der Java EE und SE
 
Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)
Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)
Agile Planung (Vortrag beim QS-Tag 2014 in Nürnberg)
 
So klappt’s: Qualitätsziele erreichen durch kontrollierte Absicherung
So klappt’s: Qualitätsziele erreichen durch kontrollierte AbsicherungSo klappt’s: Qualitätsziele erreichen durch kontrollierte Absicherung
So klappt’s: Qualitätsziele erreichen durch kontrollierte Absicherung
 
Murcs
MurcsMurcs
Murcs
 
Lean development 04
Lean development 04Lean development 04
Lean development 04
 

QUANTO Solutions Q-SEC

  • 1. Experience success. Together. Q-SEC: The Suite for SAP Security 29.10.2018 Effizient und Sicher!
  • 2. 2 Kennen Sie diese Probleme? ▪ Ihre Berechtigungstests brauchen zu viel Zeit? ▪ Der Fachbereich hat nicht die Zeit für Berechtigungstests? ▪ Sie kennen Ihre Risiken nicht? ▪ Wissen Sie, was mit ihren techn. Usern möglich ist? ▪ Haben Sie zu viele Rollen? Und Rollen, die nicht mehr verwendet werden sollten? Wir auch. Und genau dafür gibt es Q-SEC.
  • 3. Q-SEC Suite – perfekte Komponenten für zentrale Aufgaben 3 Abgleich der Rollen und Rechte gegen Anforderungen aus Compliance und Governance. Effizienter indirekter Test im Hintergrund durch Trusted Go Live Ansatz. Bereinigung von Rollen und Berechti- gungen. Sichere und effiziente Prüfung auf Risiken. Minimierung Testaufwände um 80%. Effizientes Löschen alter Berechtigungen und Rollen.
  • 4. Q-SEC Suite 4 3 Komponenten für die zentralen Aufgaben in der SAP Security Q-SEC/SoD (Segregation of Duty) ist die Lösung für den Abgleich der Rollen und Rechte gegen Anforderungen aus Compliance und Governance auf Basis von SoD Matrizen. Q-SEC/TGL (Trusted Go Live) ist die Lösung für einen effizienten Test und eine effiziente Einführung neuer Rollen und Rechte. Der Testaufwand wird dadurch deutlich reduziert. Q-SEC/CleanUP ist die Lösung für die Bereinigung von Rollen und Berech- tigungen weit über den SAP Standard hinaus. Clean Up TGL SoD
  • 6. Q-SEC: Die Suite für SAP Security − Nutzung unterschiedlicher Risikomatrizen − Verschiede Speichermöglichkeiten − Zentral ausführbar − Analyse auf User- und Rollenebene − Vorteile: − Sehr schnelle Analysen − Schnell einsatzbereit − Leicht zu bedienen − Verschieden Kritikalitäten: − Critical Action − Critical Permission − Critical Function − SoD - Segregation of Duty 6 Q–SEC/SoD
  • 7. Q-SEC/SoD 7 Import einer temporären SoD – Matrix für eine schnelle und einmalige Analyse. Import von SoD – Matrizen die im SAP System hinterlegt werden, für die dauerhafte Analyse. SoD - Matrix Die Analyseergebnisse können auf unter- schiedliche Arten dargestellt werden: − Direkte Bildschirmausgabe − Spoolauftrag (Background Job) − In der Datenbank speichern (Background Job) Ausgabe User können einzeln oder durch einen Wertebereich ausgewählt werden. User Rollen können einzeln oder durch einen Wertebereich ausgewählt werden, ebenfalls ist es möglich Rollen in Kombi- ation oder unabhängig voneinander zu analysieren. Rollen
  • 9. Q-SEC/TGL Trusted Go-live Methode 1. Phase Analyse des IST Zustandes und Konzipierung 2. Phase Entwicklung des Berechtigungskonzeptes 3. Phase Entwicklung der Berechtigungsrollen 4. Phase Trusted Go-live In Phase 1 analysieren wir den IST Zustand ihrer Systeme, nehmen Gegebenheiten auf und unterbreiten erste Verbesserungsvorschläge für den Bereich Berechtigungswesen. Meilensteine: Ist-Analyse, Zustandsbericht In Phase 3 werden aus dem Berechtigungskonzept definierte und beschriebene Berechtigungsrollen entwickelt und für die jeweiligen Standorte abgeleitet. Meilensteine: Referenz-, Ableitungs- und Sammelrollen Um das oberste Ziel des Projektes, die Einführung eines Berechtigungskonzeptes nach den Compliance Vorgaben ohne Beeinflussung des Daily Business zu erreichen, führen wir einen Trusted Go-live mit stetiger Verbesserung durch. Meilensteine: Go-live ohne Störungen Entwicklung eines Berechtigungskonzepts mit Anforderungen der jeweiligen Abteilungen und Standorte, ebenso wie Compliance Vorgaben ihres Unternehmens an die Zukünftigen Berechtigungen. Meilensteine: Berechtigungskonzept 9
  • 10. Q-SEC: The Suite für SAP Security − Auswertung genutzter Transaktionen − Massenfunktionalitäten − Anlage von Rollen − Zuweisung von Berechtigungen − Anlage von Usern − Update Funktionalitäten für Rollen − Trusted GoLive 10 Q–SEC/TGL
  • 11. Q-SEC/TGL 11 Trusted Go-live Methode MitarbeiterT-Code MM01 Aufruf MM01 Aufruf MM01 1 2 SU53 Screenshot Abstimmung der Experten Anpassung der SAP Rolle oder Erstellen einer neuen Rolle Transport und/oder Zuweisung einer neuen Rolle FallBack - User 1 2 7 8 3 4 5 6 1 2 3 Mit Q-SEC/TGL ist der Fallback-User ist dem normalen User zugeordnet und agiert als Auffangbecken, sodass fehlende Berechtigungen mit Hilfe seiner alten Rollen aufgefangen und die Fehler mitgeloggt werden. Die fehlende Berechtigung ist somit für den Endanwender nicht spürbar, er bleibt arbeitsfähig. Ausgangsszenario Der Endanwender benutzt für sein Daily Business die Transaktion MM01. Annahme in diesem Beispiel: Ein neues Berechtigungskonzept wird ausgerollt, die User erhalten neue Rollen, der Endanwender kann mit der neuen Rolle MM01 nicht mehr aufrufen. Wird beim Rollout dem User lediglich die neue Rolle zugewiesen, so muss die Rolle angepasst werden, transportiert oder eine neue Rolle zuge- wiesen werden. In dieser Zeit müssen schnell Lösungen gefunden werden. Konsequenz ohne Q-SEC/TGL-Funktionalitäten: der User ist zeit- weilig nicht vollständig arbeitsfähig.
  • 13. Q-SEC/Clean Up − Massenlöschen von Rollen − Direkt auf den jeweiligen Systemen − Erstellung von Löschtransporten − Download von Einzelrollen − Der Massendownload von Einzelrollen in einzelne Dateien 13 Stabilisierungsanalyse
  • 14. Q-SEC 14 Why Q-SEC? Analyse auf kritische Berechtigungen in ihrem System, „get clean and stay clean“ Reduktion der Testaufwände und ein Go-live ohne bewusste Defects für ihre Mitarbeiter Funktionen die die Bereinigung ihres Systems unterstützen und beschleunigen Q-SEC
  • 15. ©2018 QUANTO Vielen Dank. Wir freuen uns auf die zukünftige Zusammenarbeit mit Ihnen und stehen bei Fragen gerne zur Verfügung: Ansprechpartner Sebastian Winkelhofer Manager T +49 151 205 06132 M Sebastian.Winkelhofer@quanto-group.de Adresse QUANTO Solutions GmbH Breitwiesenstraße 19 70565 Stuttgart T +49 711 88 25 93 72 M QS-INFO@quanto-group.de W www.quanto-solutions.de