So erreichen Sie eine sichere und nahtlose GRC für Cloud-Anwendungen

Der Umgang mit Risiken und die Einhaltung rechtlicher Rahmenbedingungen gehören zu den Kernaufgaben jeder Unternehmensführung. Governance, Risk Management und Compliance (GRC) sind dabei eng miteinander verbundene und äußerst wichtige Unternehmensbereiche. In dem Umfang, in dem bei Geschäftsanwendungen zunehmend auf einen Mix aus On-Premise und Cloud gesetzt wird, steigen mit der Zahl der vernetzten Anwendungen allerdings auch die Sicherheitsrisiken.

Die gemeinsame Vergabe von Rechten in verschiedenen Anwendungen, sei es im Einkauf, in der Kreditoren-/Debitorenbuchhaltung oder im Customer Relationship Management, kann insbesondere bei Cloud-Lösungen zu SoD-Konflikten führen. Um dem entgegenzuwirken, gilt es, eine anwendungsübergreifende Sichtweise auf das Access Management zu entwickeln. Neben der Absicherung und Überwachung von On-Premise-Anwendungen müssen auch Cloud Applikationen wie SAP Success Factors, Ariba oder Concur einbezogen werden.

Entwicklung einer guten Cloud-Strategie – keine einfache Aufgabe

Auch für unseren langjährigen Partner akquinet, selbst IT-Dienstleister für SAP Security- und Compliance-Services, ist das Thema Cloud von großer Bedeutung. Dr. Holger Flint, Leiter des Competence Centers SAP Basis, ist der Meinung, dass die adäquate Umsetzung einer Cloud-Strategie aufgrund der Komplexität und der tiefgreifenden Prozesse keine triviale Aufgabe und leichter formuliert als realisiert ist. Aus diesem Grund hat er sich für die maßgeschneiderte Software von Pathlock entschieden.

Die ganzheitlichen Pathlock-Lösungen bieten eine gemeinsame, applikationsübergreifende SoD-Prüfung mit Dashboard-basierter Darstellung des aktuellen Risikostatus. Dies gilt sowohl für On-Premise- als auch für Cloud-Lösungen. Bereits bei der Antragstellung, zum Zeitpunkt der Vergabe und auch während der Prüfzyklen erfolgt eine kontinuierliche Identifizierung möglicher Funktionstrennungsrisiken. Die automatisierte SoD- und Risikoanalyse sowie das automatisierte Reporting für alle gängigen Geschäftsanwendungen – ob SAP ERP, S/4HANA oder SAP Cloud-Anwendungen sowie Microsoft Dynamics oder Salesforce – helfen, die Compliance-Anforderungen zeitsparend zu erfüllen. Dabei sind die vorkonfigurierten Regelwerke sofort einsetzbar und lassen sich problemlos individuell anpassen.

Superuser-Konzepte im Visier und im Fokus behalten

Aufgrund der zunehmenden Komplexität sind eine Aktualisierung, transparente Darstellung und Harmonisierung der SoD-Konzepte unabdingbar. Notfallkonzepte dürfen nicht mehr isoliert betrachtet werden, da sie sonst zu einer erheblichen und unnötigen Sicherheitslücke werden können, wenn Superuser weit mehr Berechtigungen haben, als sie nach dem SoD-Konzept haben sollten. Für eine ganzheitliche Sicherheitsstrategie ist dies weder zielführend noch praktikabel.

Strategische Chancen zur Verbesserung der IT-Sicherheit nutzen

Identitäten und Zugriffsrechte sind das Rückgrat von IT Security und Compliance. Die Herausforderung ist die Integration aller Business-Applikationen, um eine konsistente und sichere Access Governance zu erreichen – ob on-premise oder in der Cloud. Die richtige Konzeption und Konfiguration, die Etablierung neuer automatisierter Prozesse zur Vergabe von Zugriffsrechten, die Schaffung von Transparenz und die notwendige Compliance sind nur durch eine sorgfältige Analyse und Implementierung möglich.

Dr. Holger Flint von akquinet sieht in der Einbindung der Pathlock-Spezialisten entscheidende Vorteile für die nahtlose Integration moderner Business-Applikationen: „Diese strategische Chance zur Modernisierung der Infrastruktur und zur Verbesserung der anwendungsübergreifenden IT-Sicherheit sollten Unternehmen nutzen.“

Nicht zuletzt ist das Ende des Supports für SAP IDM auch eine ideale Gelegenheit für die Einführung neuer Funktionalitäten, einer transparent messbaren Risikoanalyse sowie eines Continuous Control Monitoring (CCM).

Wenn Sie mehr über die Absicherung von SAP Cloud-Anwendungen erfahren möchten, kontaktieren Sie uns.

Das E3-Magazin berichtet darüber in der IT Management Beilage, Ausgabe Oktober 2024 zum Thema Cloud Strategien.

Sehen Sie sich auch dieses Referenzprojekt an: