Merhabalar,
SAP sistemi 100 kullanıcıdan 10binlerce kullanıcısı olan kurumlarca kullanılmaktadır. Haliyle kullanıcıların yaptığı işlemler ve fonksiyonlar farklılık gösterecektir. Lojistik operasyonlardan finansallara, müşteri ilişkilerinden insan kaynaklarına her bir grubun sorumlulukları farklı olacaktır.
SAP sistemi içerisindeki işlevlerin ayrıştırılmasına yönelik güvenliği yetkilendirme konsepti ile sağlamaktayız. Yetkilendirme çalışmaları maksimum güvenlikle son kullanıcıların görevlerini yerine getirmeleri için yeterli ayrıcalıklar tanır. SAP sistemlerinde etkin yetkilendirme çalışmalarının amacı ise kullanıcı bakımını mümkün olduğunca sade tutmaktır.
Kuruma uygun yapılandırılan SAP yetkilendirmeleri, sistemin temel güvenliğini sağlamayı amaçlamaktadır. Örneğin, modüller arasındaki görevlerin ya da lokasyon bazında farklılaşan işlemlerin ayrıştırılması gibi durumlar kontrol edilir. SAP kullanıcıları birçok ekranla çalışmaktadırlar. Tüm kullanıcıların her alana sınırsız erişiminin olması demek, SAP sistemini birçok suiistimal ve hatalı işleme açık hale getirmek anlamına gelmektedir. Bunun sonucunda ise kurumlar ciddi kayıplarla karşı karşıya kalabilecektir. Dolayısıyla, SAP kullanıcılarının sadece ihtiyaçları olan alanlarda çalışmaları gerekmektedir. Tüm erişime sahip olunması durumu kısıtlanmalıdır.
Peki bu SAP yetkilendirme konseptini yukarıdaki açıklamalara ulaşabilmek için nasıl uyumlu hale getirebiliriz? Birkaç maddeyle durumu özetleyelim:
10 ADIMDA YETKİLENDİRME YAPISINI OLUŞTURMA
1- GEÇMİŞ VERİLERDEN YARARLANMA
Yeni bir yetkilendirme yapısı için SAP sistemlerinde geçmişteki yetkilendirme metodu önemli bir pusula olacaktır. Bu metod ile kurumun şuana kadar nasıl bir yol izlediğini saptayabiliriz. Eski nasıl daha iyiye ulaşabilir, daha iyiye ulaşması için hangi değişiklikler yapılmalı veya neler eklenmeli bunu belirleyebiliriz. Ayrıca, eski yetkilendirme metodu analizinden sonra bu yapılanmayı tamamen geride bırakıp kurumun o anki ihtiyacına göre yeni bir modelleme de çıkarabiliriz. Bu iki yöntem de kurum ihtiyacına göre kullanılabilir.
2- Z’Lİ YETKİLENDİRME YAPISI
Şirketlerin özellikle S/4 HANA dönüşümünde yeni süreçler eklenebilir ya da varolan süreçler için iyileştirmeler yapılabilir. Süreç sorumluları tarafından oluşturulan standart dışı işlem kodları, yetki nesneleri, programlar için kullanıcıların yetkilendirme işlemlerini göz ardı etmememiz gerekmektedir. Operasyonların paralel olarak ilerlemesi için SAP sistemindeki Z’li yapılanmayı süreç sorumlularıyla koordine halde ilerletmeliyiz. Örneğin yeni bir Zli işlem kodu oluşturulduysa bunun hangi kullanıcılar tarafından kullanılacağı, aynı işlem kodunu kullanan kullanıcılar arası organizasyonel ve fonksiyonel düzeyde yetki kırılımının nasıl olacağını belirlemeliyiz.
3- OUTSOURCE KULLANICILAR & DANIŞMANLAR
Çalışma yapılacak kurumda şirket içi personellerin yanında danışmanlar gibi dış kaynak kullanıcılar olabilir. Bu kullanıcıların sisteme giriş yapacağı süre zarfı içerisinde sadece ihtiyacı ve sorumlusu olduğu yetkilerin verilmesi için denetim altında yetkilendirme süreci ilerlemelidir.
SAP GRC Access Control ürününün Emergency Access Management komponenti kurumların bu süreçler için kullanmayı en çok tercih ettiği yöntemlerden biridir. Böylece, danışmanlar ve şirket içi IT kullanıcıların işleme aldıkları tüm kayıtlar, değişiklikler kayıt altına alınabilmektedir. Örneğin toplu veri girişi yetkisini ERP sisteminde hiçbir kullanıcıya atamayıp, GRC üzerinden yetkilendirirsek hangi kullanıcının hangi işlemleri yaptığını kayıt altında tutabiliriz. Bu yaklaşım, denetim sürecinde daha sistematik ilerlememizi sağlayacak ve hata yapma payını azaltacaktır.
4- UAT ( USER ACCEPTANCE TEST)
Yeni yetkilendirme modelini kalite sisteminde her modüldeki anahtar kullanıcılarla beraber test etmek aslında yapılan çalışmaların gerçeğe ne kadar
uygun ilerlediğini görmemize yardımcı olacaktır. Canlı kullanımdan önce yetki kontrolü ile işlemlerin nasıl ilerlediği bu sayede test edilebilecektir. Bu test senaryolarını kullanım yoğunluğu olan süreçlerden başlatmak doğru olacaktır. UAT sürecini ne kadar kapsamlı tutarsak canlıya geçişte alınan hata sayısını o kadar azaltmış oluruz.
5- RİSKLİ FONKSİYONLARIN BELİRLENMESİ
Bir kullanıcının ikinci göz olmaksızın uçtan uca bir süreci yönetmesi departman içerisinde veya departmanlar arasında suiistimal ya da hatalı veri girişi riski yaratacaktır. Bunun yanında bir işlem kodu veya yetki nesnesi de tek başına risk oluşturabilmektedir. Satıcı ana veri bakımı ve satıcı faturalarının işlenmesi tek bir kullanıcıda olması riskli olacağı gibi, bordronun yürütülmesi veya kullanıcı bakımı yapmak da tek başına riskli bir işlemdir. Denetim ekibi veya departman sorumluları ile bir araya gelip iki işlem kodunun çakışmasıyla veya tek başına bir kullanıcıda bulunması kritik olan işlem kodlarını dikkate alarak rol çalışması yapılmalıdır.
Kurumlar kullanıcı yetkilendirme tarafında SAP GRC Access Control ürününün Access Request Management çözümünü de kullanmaktadır. Böylece kurumlarca belirlenen risklere göre hangi kullanıcıda hangi riskler var, neye erişmeli vb. çalışmaların otomatize edilmesini ve ERP, HR , CRM vb. sistemlerindeki kullanıcı yetkilendirmelerini tek bir sistemden ilerlemesini sağlanmış olmaktadır.
6-ROL İSİMLENDİRMESİ
Roller, türüne ve içerdiği yetkilere göre çok çeşitlidir. İhtiyaca göre kurumlarda binlerce rol oluşturulabilir. Bu sebeple rol isimlendirme taslağı yetkilendirme tarafından çalışan personelin doğru atamalar yapabilmesi, denetim ekibinin yaptığı genel ve periyodik denetleme takviminde doğru sonuçlar çıkarması, raporlamalar için daha doğruya yakın veriler elde etmemize olanak sağlayacaktır.
7-ORGANİZASYONEL VE FONKSİYONEL DEĞİŞİKLİĞİ YÖNETME
Bir kurumun yetkilendirme metodu en iyiye yakın hale gelse dahi değişiklikler sürekli olacaktır. Buna örnek olarak SAP sisteminde yeni bir üretim yeri oluşturulduğunda, bu yeni üretim yeri yetkisini operasyon sürekliliği için ilgili kişilere atamak gerekliliği gösterilebilir. Bu durumu yönetmek için modül sorumluları ile sürekli iletişim halinde olup, kimin hangi yetki değerlerine atanacağı konusunu belirlemeniz gerekecektir.
8-FARKLI KULLANICI TİPLERİNİ YETKİLENDİRME
RFC , Web Service , Basis kullanıcıları için diğer kullanıcılardan farklı bir yetkilendirme metodu izlenmelidir. Oluşturulacak toplantılar neticesinde SAP_ALL (SAP üzerinde tüm işlemleri yapma yetkisi tanıyan SAP yetki profili) yetkisinden uzaklaştırılması hedeflenirse ihlallerin büyük ölçüde önüne geçmiş oluruz.
9- CHANGEBOARDİNG / OFFBOARDİNG SÜRECİ
Bir kullanıcı terfi edebilir, farklı bir departmana geçebilir veya işten ayrılabilir (Changeboarding). Örneğin bir kullanıcı muhasebe departmanından satış departmanına geçiş yaptıysa kullanıcı yetkilendirmelerinde güncelleme yapılmadığı takdirde olumsuz durumlarla karşı karşıya kalabiliriz. Bu noktada yetki atamalarının yanında, ihtiyacı olmayan yetkilerin de kaldırılması önemli bir husus olarak karşımıza çıkıyor.
Offboarding (İşten ayrılma) uygulamalarında ise birçok seçenek mevcuttur. Kullanıcıları silmek yerine bloke edebilir veya geçerlilik süresinde kısıtlama yapabiliriz.
10- GEÇİCİ YETKİ ATANMASI
Bir kullanıcı izin alması durumunda, örneğin 2 hafta için kendi sorumluluklarının başka bir kullanıcıya tayin edilmesini isteyebilir ya da yeni bir kullanıcı işe alınana kadar geçici bir süre için bir kullanıcı o görevleri üstlenebilir. Bu süreçlerde geçici yetki durumunun takibi ve verilen yetkinin geçerlilik tarihinin kontrol edilmesi yetkilendirme süreçlerinde gereken önemli bir maddedir. Geçici yetki atanması sonucu satın alma onayının bir kullanıcıya atanması ve süre dışına çıkıldığında bu yetkinin geri alınmaması kurumu ileride birçok zarara uğratabilir.
Yetkilendirme konsepti çok kapsamlı ve birçok etkene bağlıdır. Yukarıda açıklamış olduğum maddeler dikkate alınıp kurumun ihtiyaçlarına göre uygulamaya geçilirse, iyi bir yetkilendirme yapısı kurulmasına daha çok yakınlaştıracaktır. Kapsamlar ve etkenlerin değişikliyle beraber, yeni kompleks durumlar ve yeni çözümlerle de karşılaşabiliriz. Bunun için bloglarla Linkedin üzerinden sizlerle yine paylaşımlar yapmaya devam edeceğim.
Kaynak : MBIS – Yağmur KAYNARPINAR / MBIS SAP GRC Consultant