Av Sükrü ilkel Birakoglu, Senior Director

Segregation of Duties (SoD) är en intern process som syftar till att förhindra fel och bedrägerier genom att säkerställa att minst två personer är ansvariga för de separata delarna av varje arbetsuppgifter. 

SoD handlar om att bryta ner uppgifter som rimligen kan utföras av en enskild individ till flera uppgifter så att ingen enskild person har kontroll över ett verksamhetskritiskt system. Lönehantering är till exempel ett administrativt område där både bedrägerier och fel utgör stora risker. Ett vanligt exempel på ansvarsfördelning inom lönehantering är att ha en anställd som ansvarar för bokföringsdelen av arbetsuppgiften och någon annan som ansvarar för att godkänna utbetalningar.  

Även om det förbättrar säkerheten kan fördelningen av arbetsuppgifter till separata moment påverka verksamhetens effektivitet negativt och öka kostnaderna, komplexiteten och personalbehovet. Därför tillämpar de flesta organisationer endast SoD på de mest sårbara och uppdragskritiska delarna av verksamheten. 

Att använda rätt SoD i ERP-system som SAP ökar komplexiteten ytterligare med hänsyn till alla affärsrelaterade uppgifter som kan utföras i ett SAP-system. Detta kräver kontinuerlig övervakning av SoD-konflikter och utförande av affärsprocesser relaterade till dessa konflikter för att förhindra bedrägerier i SAP-system. 

Vad gäller SAP-system, bör en individ inte övervaka mer än en av dessa transaktionskomponenter: Attestering av transaktionerbokning av transaktioner och hantering av relaterade tillgångar. Till exempel bör en person som kan godkänna inköpsorder inte vara ansvarig för att behandla betalningar.  

För att följa SoD-principerna i SAP-system måste du utföra 4 processer:  

  1. SoD-design
  2. SoD-implementering
  3. SoD-bedömning
  4. SoD-åtgärder 

Under SoD-designprocessen bör företag skapa en organisationsstruktur där affärsrollerna för varje befattningstyp beskrivs. Dessa affärsroller (t.ex. kundansvarig, inköpare, säljare) ska bestå av vissa funktioner, såsom att skapa en leverantör eller kundansvarig, skapa en betalningsorder, godkänna en betalningsorder osv. 

Var och en av dessa funktioner kan knytas till transaktioner, tjänster, fjärrfunktionsanrop eller andra systemrelaterade åtgärder och API:er i SAP-system. Därför är det viktigt att fastställa vilka åtgärder som hör till vilka funktioner och tillämpa dem med hjälp av de tekniska rollerna i SAP-systemet på ett korrekt sätt. SoD-design är en lång och komplicerad process där det är lätt att göra fel på grund av de komplexa affärsprocesserna som SAP-systemet hanterar. 

SoD-implementeringsprocessen knyter du dina affärsroller till tekniska roller i SAP-systemet. Tekniska roller bestämmer vilka transaktioner som kan utföras i SAP-system. Du kan nu tilldela de tekniska rollerna till de SAP-användare som ska utföra affärstransaktioner i SAP-systemet. 

SoD-bedömning är den mest komplicerade processen även om SoD-design- och SoD-implementeringsfaserna har utförts korrekt. Du måste övervaka dina SAP-system för att kontrollera om alla följer dessa krav varje gång ändringar görs. Det är här SoD Tools kommer in i bilden. 

SoD Tools kontrollerar om användare kan utföra kritiska transaktioner eller deras behörighetskombinationer i den befintliga organisationsstrukturen eftersom det finns risk för bedrägeri. Ordet befintlig indikerar att de flesta företag inte har några SoD-utvecklings- och SoD-implementeringssteg på plats. 

SoD Tools kan vara till stor hjälp när det gäller att generera en lista över användare med åtkomst till kritiska standardtransaktioner som finns praktiskt taget överallt (t.ex. SU01 – användartransaktion, SE16 – läsa tabeller). Bara detta kan spara mycket tid och ger en övergripande förståelse för hur dålig situationen med rollhanteringen kan vara. Om det finns många användare i ett SAP-system som kan utföra kritiska transaktioner, till exempel SU01, SM59 eller SE16, finns det eller flertal problem på SoD-designstadiet – oavsett företagets affärsprocesser. 

På den andra nivån kan vi hämta en lista över användare med åtkomst till typiska kombinationer av kritiska transaktioner som t.ex. att skapa betalningsorder och godkänna dem. Bedömning av affärsprocessnivåer är också en relativt komplicerad uppgift i SAP-system, en kontinuerlig övervaknings- och rapporteringslösning måste finnas på plats här, som Logpoint BCS för SAP

Med vår SoD-bedömnings- och övervakningslösning är det möjligt att ta reda på användare som har tilldelats motstridiga roller, dvs. SoD-behörighetsproblem. Vi kan också identifiera åtgärder i SAP-system som kan leda till SoD-konflikter. 

På en dashboard i vår lösning visar vi SoD-konfliktsituationer som kan uppstå enligt nuvarande rolltilldelning i SAP-systemet. Antalet användare som har roller som leder till SoD-konflikter listas också.  

List of SoD Violations in an SAP System and List of Users with corresponding roles leading to SoD Violations

Lista över SoD-överträdelser i ett SAP-system och användarlista med motsvarande roller som leder till SoD-överträdelser

På andra dashboards visas mer detaljerad information om den verkliga användningen av roller som leder till SoD-konflikter. Om till exempel en användare som har skapat en inköpsorder och även ändrat huvudvillkorsdata för denna inköpsorder, fångas denna åtgärd upp i realtid och visas i Logpoint SIEM-lösningen.

List of actions leading to SoD Violations in an SAP System

Lista över åtgärder som leder till SoD-överträdelser i ett SAP-system

I SoD-åtgärdsfasen korrigerar du SoD-konflikterna i dina SAP-system baserat på dina resultat från SoD-bedömningsfasen. Logpoint BCS för SAP-lösningar tillhandahåller omfattande information om SoD-konflikter i dina SAP-system och denna information används som indata för SoD-åtgärdsfasen.

För mer information om BCS för SAP säkerhets- och hotdetektionsprodukter kan du skicka ett e-postmeddelande till min e-postadress: [email protected] 

Segregation of Duties

Contact Logpoint

Contact us and learn why
industry-leading companies
choose Logpoint:

Contact Logpoint