Emergency Handler
Transcrição
Emergency Handler
Emergency Handler Management der Zugriffsberechtigungen in Notfallsituationen für IT-Organisationen und Fachabteilungen Der Emergency Handler ist Bestandteil unseres Softwarepakets SUIM-AIM und wurde von SAP zertifiziert. Big Picture Im Alltagsgebrauch sollten Ihre Benutzer nur mit ihren Bereichen entsprechenden Berechtigungen ausgestattet sein. Dies gilt für gewöhnliche Benutzer aber auch für Administratoren, Entwickler und den Picket Dienst. In besonderen Fällen sind jedoch erhöhte Rechte nötig. In diesen Fällen ermöglicht der Emergency Handler eine zeitlich begrenzte Zuteilung von erhöhten Rechten. Alle vom Benutzer während dieser Zeit ausgeführten Aktionen werden detailliert zu Auditzwecken und internen Mit der SUIM-AIM Suite besitzen Sie ein effizientes Werkzeug zur Bewirtschaftung des gesamten User Lifecyles. Das EH Modul ermöglicht Ihnen eine einfache Verwaltung von erhöhten Rechten und deren Zuteilung an zuständige Personen um in Notfallsituationen die nötigen Massnahmen auf Ihrem SAP System ausführen zu könne eine schnelle Zuteilung der Emergency Rechte wenn ein Fall eintritt eine lückenlose Erfassung aller Aktivitäten welche während einer Emergency durch den Benutzer ausgeführt werden. eine detaillierte Auswertung der Aktivitäten zu Überwachungs– und Revisionszwecken Integration in die AIM-Softwaresuite Innerhalb der AIM-Softwaresuite ist der Emergency Handler ein eigenständiges Werkzeug. Einige seiner Funktionen werden auch durch Softwaremodule aus unseren anderen Werkzeugen (z.B. Access Manger, Access Manager for Support Organizations, Identity Manager und Application Tracer) genutzt. Die aufgezeichneten Emergency Daten können optional mit dem Compliance Enforcer Highlights Ausgangslage & Anforderungen In Notfall– und ähnlichen Supportsituationen benötigt der verantwortliche Mitarbeiter den Zugriff auf die relevanten IT-Systeme. Er braucht also einen User mit passenden Berechtigungen und dessen Passwort. im Emergency Handler realisierte Lösungsprinzipien Diese Anforderungen können bezüglich Zuweisungsmethode und Zuweisungsprozess durch jeweils zwei Lösungsprinzipien abgedeckt werden. Zuweisungsmethoden: temporäre Erweiterung der Berechtigungen des eigenen oder eines „fremden“ Users Nutzbarmachung eines „fremden mächtigen“ Users der bereits über die nötigen Berechtigungen verfügt Zuweisungsprozesse: Self Service (ohne Interaktion mit einem weiteren Anwender) Workflow (mit Interaktion einer Genehmigungsinstanz) Aus unterschiedlichen Gründen kann es vorkommen, dass dem User des Mitarbeiters nicht permanent die notwendigen Berechtigungen zugeteilt sind. In diesem Fall muss der Mitarbeiter temporär mit den ausreichenden Berechtigungen ausgestattet werden. im Emergency Handler realisiertes Risikomanagement & Revisionssicherheit Durch die in einer solchen Notfallsituation bewusst zusätzlich zugewiesenen Berechtigungen, können grosse potentielle Risiken entstehen. Diesen gilt es entgegenzuwirken, indem sichergestellt wird, dass alle Aktivitäten aufgezeichnet und analysiert werden. Eingetretene Risiken gilt es zu erkennen und zu überprüfen. Der Emergency Handler sammelt und analysiert alle Aktivitäten des Emergency-Users (Activities Detector) im Zeitraum von der Eröffnung bis zur Beendigung der Emergency. Dies umfasst insbesondere: die aufgerufenen Business-Transaktionen die erzeugten Tabellenänderungen Beide Prinzipien haben im spezifischen Kontext Vor– und Nachteile. Der Emergency Handler umfasst Funktionen, die jeweils beide Lösungsprinzipien abdecken. die erzeugten Änderungsbelege die durchgeführten Änderungen an Benutzer– und Berechtigungsstammsätzen Die Revisionssicherheit garantiert der Emergency Handler, indem er sämtliche Aktivitäten mit und im Emergency Handler (Eröffnung, Beendigung, Anpassung Customizing, etc.), aber auch sämtliche Resultate des Activities Detectors, protokolliert und nachfolgenden Prüfungen zur Verfügung stellt. Optional kann mit dem Compliance Enforcer eine Überprüfung von tatsächlich während einer Emergency Organizer Der Emergency Organizer stellt die Funktionen für die Organisation der beiden im EH implementierten Lösungsprinzipien der Berechtigungszuweisung zur Verfügung. Temporäre Erweiterung der Berechtigungen Dieses Lösungsprinzip basiert auf Referenzusern. Deren Berechtigungen werden dem Emergency-User temporär zugewiesen. Die Funktionen des Emergency Organizers stellen die Verfügbarkeit und Korrektheit der Referenzuser in der Systemarchitektur sicher. Die einzelnen Funktionen sind: Nutzbarmachung eines „fremden mächtigen“ Users Dieses Lösungsprinzip basiert auf Usern, die bereits über „mächtige Berechtigungen“ verfügen. Dies können z.B. der User DDIC oder spezifisch angelegte Notfalluser sein. Der Emergency Organizer ermöglicht die Verwaltung der zulässigen User und definiert deren Verhalten im Gruppierung der Referenzuser in Aufgabengebiete Zuweisung von Rollen und Profilen an die Referenzuser Analyse, Abgleich und Verteilung der Referenzuser in der Systemarchitektur Emergency Handler. Emergency Assigner Der Emergency Assigner stellt die Funktionen für die Zuweisung der notwendigen Notfallberechtigungen sicher. Er unterstützt beide im EH implementierten Lösungsprinzipien der Berechtigungszuweisung. Nutzbarmachung eines „fremden mächtigen“ Users (Supportuser) Generierung /Anzeige und Setzen eines Initialpassworts für den Supportuser im Emergency-System Positionierung / Eröffnung eines Emergencys optional -> Entsperrung des Supportusers Positionierung / Anlegen des Emergencys in der Start der Protokollierungsmechanismen Systemlandschaft Dokumentieren / Begründen des Emergencys Auswahl des in den jeweiligen Systemen notwendigen Notfall-Users / Referenzusers Beendigung einer Emergency Stop der Protokollierungsmechanismen Rücknahme des Referenzusers und dessen Profilen im Emergency-System temporäre Erweiterung der Berechtigungen (Referenzuser) optional -> sperren, deaktivieren Passwort, setzen Auswahl des Emergency-Users (eigener oder Sammlung und zentrale Speicherung aller fremder User) sofern nicht vorhanden -> Anlegen des Emergency -Users im Emergency-System Zuweisung des Referenzusers und dessen Profilen zum Emergency-User im EmergencySystem Start der Protokollierungsmechanismen Random Initialpasswort Aktivitäten des Emergency-Users optional -> starten eines Workflows für ein Audit Activities Detector Der Activities Detector sammelt, speichert und analysiert alle Aktivitäten des Emergency-Users im Zeitraum von der Eröffnung bis zur Beendigung des Emergencys . Dies umfasst insbesondere: Change logs Customizing change logs Users and authorization change logs HR change logs Die Resultate werden in einer zentralen Datenbank gespeichert und können jederzeit als übersichtliche Liste aller relevanten Aktivitäten dargestellt und analysiert werden. Authorizations Trace Workload Analyse STAD Workloads Tables change logs HR Change Logs Authorisation Trace STAD Workloads Table Change Logs unsere Softwareprodukte Unsere Softwareprodukte sind Zusatzmodule für SAP oder Frontendapplikationen mit SAP-Integration. Wie fokussieren auf das IT Service Management (ITSM) und das Interne Kontrollsystem (IKS). Im Bereich ITSM decken wir vom Service Design über die Kalkulation, die Vereinbarung und das Reporting bis zur Verrechnung alle „kundenorientierten“ Prozesse ab. Auch der Betrieb des Access– und Identity Managements, des User Logins und der Netzwerksicherheit werden durch unsere Softwareprodukte optimal unterstützt. Die typischen Anwender sind ITOrganisationseinheiten und Shared Services SUIM GmbH Chemin du Marguery 15 1802 Corseaux, Switzerland www.suim.ch [email protected] Centers. Das IKS wird durch unsere Werkzeuge bei der Definition der Vorgaben (Risiken) und bei der Prüfung der Einhaltung (Compliance) unterstützt. Dabei decken wir neben den manuellen und automatischen Kontrollen auf Prozessebene auch die generellen IT-Kontrollen ab. Die typischen Anwender sind externe und interne Revisoren oder IKS- und Prozessverantwortliche.