Você está na página 1de 32

Introdução SAP GRC

Access Control
Agenda
Índice

Tecnologia GRC
Objetivos
Funcionalidades SAP GRC Access Control
Metodologia
Estratégia de Treinamento
Produto Final
Credenciais
Dúvidas?

Page 2
Tecnologia GRC

Page 3
Tecnologia GRC
Introdução

► Gestão GRC é definida como a automação


do gerenciamento, medição, remediação e
monitoramento de riscos e controles contra
objetivos, de acordo com os regulamentos,
normas, políticas e regras de negócios
definidos.
► ERM surgiu como uma razão principal para
a implementação de uma plataforma
corporativa de GRC (EGRC).
► Tendências para convergir o
monitoramento contínuo de controles
(CCM), bem como as necessidades
operacionais do GRC (ex: saúde e
segurança ambiental) estão surgindo com a
plataforma EGRC.
► Convergência da gestão GRC nas funções
de TI, que normalmente tratam de
requerimentos operacionais (bottom-up),
com funções EGRC, que normalmente
tratam de requerimentos estratégicos (top-
down), também estão em andamento nas
grandes organizações..

Page 4
Page 4
Tecnologia GRC
Plataformas e tendências

Principais tendências que afetam mercado de


plataformas de Governança, Risco e Compliance

► Quatro principais utilizações das ferramentas GRC –


gestão da auditoria interna, gestão de riscos
corporativos, conformidade SOX ou leis similares e
gerenciamento de riscos de Tecnologia da
Informação.
► Convergência para atividades de Monitoramento
Contínuo de controles e indicadores de negócio com
a plataforma de GRC;
► Aumento da procura das organizações e auditorias
internas que lidam com crescentes requerimentos
regulatórios, gestão corporativa de riscos e
demandam por mais auditorias das áreas de negócio.
► Preocupação recorrente dos executivos de grandes
organizações com redução de custos e eficiência nos
processos, principalmente nas atividades
relacionadas com execução, teste e remediação de
controles internos.

*Fonte: Gartner Magic Quadrant – Plataformas GRC 2012

Page 5
Page 5
Tecnologia GRC
SAP Governance, Risk & Compliance

► SAP GRC é um conjunto


SAP BusinessObjects GRC Solution
integrado de aplicativos que
permitem às empresas gerir os
seus riscos e controles em
Risk
tempo real; Management
Enterprise Risk Management

► SAP GRC suporta sistemas Compliance Access


Access Process
& Controls Global Trade Environment
SAP e não SAP e integra-se Control
Control Control
com ativos de TI existentes e
parceiros de tecnologia; Governance GRC Repository
Corporate Sustainability
Management

► SAP GRC Access Control (AC),


Process Control (PC) e Risk
Management (RM) são Business Applications
and
componentes dentro do IT Infrastructure
conjunto de soluções SAP
GRC. Serviços

Transformação Melhoria
Implementação Up Grade
do Negócio Contínua

Page 6
Objetivos

Page 7
Objetivos

► Atendimento às exigências de auditorias de controles internos (SOX);


► Gestão eficiente dos acessos ao sistema SAP;
► Gestão eficiente do processo de revisão de perfis e segregação de funções;
► Gerenciamento de risco e análise em tempo real;
► Gestão de riscos e conformidade com políticas corporativas;
► Atendimento às exigências internas de segurança;
► Processo automatizado para administrar usuários, funções e riscos;
► Minimizar o tempo e custo do gerenciamento e administração dos acessos.

Page 8
Funcionalidades SAP GRC AC

Page 9
Funcionalidades SAP GRC AC

Gestão de Acessos

Gerenciamento Análise de Administração Administração


de solicitações Risco SoD e de Funções e de super
de acessos Remediação Perfis usuários

EAM (Emergency Access Management)

BRM (Business Role Management)

ARA (Access Risk Analysis)

ARM (Access Request Management)

Page 10
Funcionalidades SAP GRC AC

ARM (Access Request Management) ARA (Access Risk Analysis)

Análise de Risco SoD


Gerenciamento de Solicitações

► ARM é o componente responsável pelo controle do fluxo


►ARA é o componente responsável pela análise de

e Remediação
de solicitação de acessos, assim como provisionamento de
riscos de segregação de funções e gerenciamento dos
usuários que registra solicitações e aprovações de acesso
controles compensatórios associados a cada risco de
através da utilização de workflow;
segregação. As análises de riscos de segregação
podem ser realizadas no nível do perfil de acesso, assim
►Permite executar análises de risco de segregação de
como no nível de usuários finais.
de Acessos

funções mandatórias e em tempo real antes da concessão


de acesso à usuários finais. As solicitações e aprovações
de acesso são automaticamente registradas pela
ferramenta que elimina a necessidade de trilhas de EAM (Emergency Access Management)

Administração de Super Usuários


auditoria por email;
►O componente EAM permite o controle da utilização
de super usuários: Usuários privilegiados normalmente
BRM (Business Role Management)
utilizados em momentos de emergência ou ação critica,
obtendo maiores acessos no sistema para execução de
►O
Administração de

componente BRM permite administrar atividades de um determinado processo;


Funções e Perfis

(criar/alterar/remover) os perfis de acesso do sistema


com um repositório de perfis/funções unificado. Os perfis ►Previne utilização de perfis com privilégios irrestritos
podem ser documentados, analisados com relação à para resolver problemas emergenciais (ex.: perfil
existência de violações de segregação de funções, e “SAP_ALL”) e pode enviar alertas para pessoas chave
autorizados para que sejam atribuídos aos usuários quando usuários emergenciais são utilizados. A
finais. utilização de usuários é monitorada e registrada através
de uma camada de auditoria..

Page 11
Melhorias 10.1

Page 12
Melhorias – GRC 10.1
Novas Funcionalidades

Controle de acesso para SAP HANA


Solicitação de acesso simplificado
Grupos de usuário personalizada dos atributos SU01
Regras de Org. Level para sistemas Específicos
Facilitador para criação regras de Org Level
Painéis laterais de apoio
Personalização de busca de perfis
Menu de ajuda tipo Google

Funcionalidades Melhoradas

Melhorias para análise de risco e remediação


Análise de causa raiz de acesso
Funcionalidades de mitigação e workflow aprimorados
Painéis e Relatórios de autorização

Page 13
Metodologia

Page 14
Metodologia
Implementação SAP GRC Access Control v10

A estratégia de implementação consiste na configuração das funcionalidades da ferramenta GRC AC


(ARM, ARA, BRM e EAM), com o objetivo de manter a adequação dos novos perfis de segurança
definidos pela Tupy, estruturar e automatizar o processo de provisionamento dos acessos redefinidos e
controlar a gestão dos acessos privilegiados.

*Diagrama da arquitetura SAP GRCv10.0 e integração com ERP, SAP Portal, ADS, NWBC

Page 15
Metodologia
Implementação SAP GRC Access Control v10

Avaliar Desenhar Construir Testar Implementar


(preparação projeto) (blueprint) (realização) (preparação final) (go-live)
GRC – Processo de definição

Construção dos
Padrões de Testar cenários
Avaliar situação atual conjuntos de regras Go-live
configuração GRC definidos
(Rule set)

Estratégia de GRC Definições de regras 1 Conduzir treinamento Acompanhamento


Configuração GRC
detalhada e roadmap e Rule sets (ARA) e capacitação pós implementação

Administração e Definição de super 2 Procedimentos


Cenários e scripts de
responsabilidades usuários e validação Finalização do
testes
GRC (EAM) projeto
Plano de
Definição de Role e 3 Procedimentos de
desenvolvimento e
validação (BRM) operação do GRC
equipe
Definição de 4
provisionamento de
Arquitetura técnica
usuários e validação
(ARM)

Gerenciamento do Projeto e Governança


Produtos Finais

Matriz de
Estratégia GRC Responsabilidades Script de teste
Treinamento GRC
Plano de Definições de
desenvolvimento e regras e Rule sets Configuração
equipe

Estratégia detalhada Procedimentos Suporte pós


Arquitetura técnica de GRC e roadmap Rule sets
Go-live implementação

Page 16
Metodologia
Implementação SAP GRC Access Control v10

Avaliar Desenhar Construir Testar Implementar


(preparação projeto) (blueprint) (realização) (preparação final) (go-live)

Etapa Atividades
• Realizar uma avaliação do estado atual do ambiente de segurança para definir a base a partir da
Avaliar situação atual
qual o estado futuro pode ser estabelecido.

• Identificar e acordar sobre o escopo de implementação GRC e os objetivos. Definir e documentar


uma estratégia para a incorporação do conjunto de ferramentas GRC para o gerenciamento de
Estratégia de GRC detalhada e
requisitos e processos de segurança. Documento de visão do estado final (TO BE) e os benefícios
Roadmap esperados. Atualizar roadmap para refletir a estratégia e abordagem de implementação.
AVALIAR

• Rever as políticas e procedimentos atuais de administração da segurança. Estabelecimento de


propriedade, papéis e responsabilidades para os componentes de GRC: regras (rulesets),
Administração e responsabilidades GRC desenvolvimento de roles/funções, provisionamento de usuários, avaliação de segurança.

• Definir e documentar plano de implantação e modelo de recursos humanos para apoiar a


Plano de desenvolvimento e equipe implementação. Abordagem deve considerar requerimentos de auditoria, “quick wins”, etc.

• Realizar workshops para definir e documentar requisitos de arquitetura técnica do GRC. Sessões
devem considerar:
• Ambiente de Desenvolvimento, Qualidade, Produção;
• Procedimentos de controle de mudanças, papéis e responsabilidades;
Arquitetura técnica
• Padrões de documentação e nomenclatura;
• Controle e resolução de problemas;
• Administração de Acesso c/ GRC;

Page 17
Metodologia
Implementação SAP GRC Access Control v10

Avaliar Desenhar Construir Testar Implementar


(preparação projeto) (blueprint) (realização) (preparação final) (go-live)

Etapa Atividades

• Discutir e validar os padrões, que incluem:


• As convenções de nomenclatura;
Padrões de configuração GRC
• Estruturas organizacionais: conjuntos de regras (rule sets), processos, riscos, funções,
controles compensatórios.
DESENHAR

• Revisão da estratégia de segurança dos processos de negócio;


• Realizar uma série de workshops com o pessoal adequado para cada processo de negócio. Os
workshops devem incluir e facilitar as discussões em torno de:
• Transações funcionais críticas;
• Transações Basis críticas;
• Segregação de funções;
• Super Usuários;
Definições de regras e Rulesets (ARA)
• Perfis padrão;
• Programas, Transações e Tabelas customizadas;
• Validar que o desenho das regras está alinhado com a segurança de processos de negócios e
desenho das funções;
• Acordar os requisitos e abordagem para controles compensatórios;
• Obter aprovação dos “donos” de processos de negócios para o desenho das regras;

Page 18
Metodologia
Implementação SAP GRC Access Control v10

Avaliar Desenhar Construir Testar Implementar


(preparação projeto) (blueprint) (realização) (preparação final) (go-live)

Etapa Atividades
• Conduzir workshops de desenho de super usuários. Incluir discussões em torno de:
• Processos e procedimentos para a gestão das contas de super usuários;
• Papéis e responsabilidades para o desenvolvimento de contas de super usuários, utilização e
Definição de super usuários e monitoramento;
validação (EAM)
• Abordagem e roadmap para a implantação do EAM no gerenciamento dos riscos de super usuários.
• Aprovação dos “donos” de processos de negócio no processo de gestão de super usuários.
DESENHAR

• Conduzir workshops de desenho da gestão de roles. Incluir discussões em torno de:


• Processos e procedimentos para desenvolvimento de roles/funções;
• Papéis e responsabilidades para o desenvolvimento de roles/funções;
Definição de Role e validação
• Abordagem e roadmap para a implantação da gestão de roles/funções no processo de
(BRM)
desenvolvimento de perfis.
• Aprovação dos “donos” de processos de negócios no processo de gerenciamento de funções/roles.

• Conduzir workshops de desenho dos fluxos de acessos, fluxo de gerenciamento de riscos. Incluir discussões
em torno de:
• Processos e procedimentos para provisionamento de usuários;
Definição de provisionamento de
• Papéis e responsabilidades para o provisionamento de usuários;
usuários e validação (ARM)
• Abordagem e roadmap para a implantação do provisionamento automático de usuários no processo
de gestão de acessos.
• Aprovação dos “donos” de processos de negócios no processo de provisionamento de usuários.

Page 19
Metodologia
Implementação SAP GRC Access Control v10

Avaliar Desenhar Construir Testar Implementar


(preparação projeto) (blueprint) (realização) (preparação final) (go-live)

Etapa Atividades
• Criar e customizar regras fora do GRC para a carga de dados em massa;
• Definir funções, códigos de transações, objetos de autorização, campos/valores, dados
Construção dos conjuntos
organizacionais.
de regras (Rule set)
• Revisão de regras com base nos processos de negócios e desenho de roles/funções;
• Carregar conjuntos de regras no GRC (rulesets);
CONSTRUIR

• Definir e aprovar configurações chave por componente GRC;


Configuração GRC • Atualizar os padrões;
• Aplicar e testar as configurações;
• Construir cenários de integração e scripts de teste:
• Estabelecer papéis e responsabilidades de teste;
Cenários e Scripts de
• Definir processo de rastreamento e resolução de erros;
Testes
• Estabelecer cronograma de testes e recursos humanos;
• Obter a aprovação dos cenários de teste e scripts.

• Conduzir workshops para estabelecer procedimentos de operação e administração do GRC:


• Papéis e Responsabilidades;
• Identificação de principais relatórios e sua utilização;
Procedimentos de operação
• Controle de mudanças;
do GRC
• Tratamento de exceções, acompanhamento e resolução de problemas;
• Principais métricas de desempenho e monitoramento;
• Criar treinamento por componente GRC e plano de capacitação.

Page 20
Metodologia
Implementação SAP GRC Access Control v10

Avaliar Desenhar Construir Testar Implementar


(preparação projeto) (blueprint) (realização) (preparação final) (go-live)

Etapa Atividades
• Criar contas de usuários para suportar os testes;
• Executar cenários/scripts de teste para cada componente e validar integração com conjuntos de
regras (rule sets). Os testes devem incluir:
• Cenários positivos e negativos;
Testar cenários definidos
• Rastreamento de defeitos e resolução;
• Validação dos resultados reais VS esperados;

TESTAR

Homologação de testes GRC.

• Executar treinamentos por público alvo para cada papel envolvido nos componentes do GRC-AC:
• ARA: Access Risk Analysis (Risk Owner);
• EAM: Emergency Access Management (Firefighter Owner);
Conduzir Treinamento e Capacitação • BRM: Business Role Management (Role Owner);
• ARM: Access Request Management (Gestor imediato).
• Disponibilizar material de treinamento por componente GRC;

Page 21
Metodologia
Implementação SAP GRC Access Control v10

Avaliar Desenhar Construir Testar Implementar


(preparação projeto) (blueprint) (realização) (preparação final) (go-live)

Etapa Atividades

• Transportar “requests” de configuração para produção;


• Associar controles compensatórios às violações de acesso existentes;
IMPLEMENTAR

Go-Live
• Aplicar atribuições de produção;
• Conduzir o checklist de go-live.

Acompanhamento pós implementação • Acompanhamento do projeto pós-implementação:


• Suporte Pós Go-live.

• Revisão e wrap-up de documentação do projeto;


Procedimentos Finalização do projeto
• Documento formal de conclusão.

Page 22
Estratégia de Treinamento

Page 23
Estratégia de Treinamento
Implementação SAP GRC Access Control v10

Para que a passagem de conhecimento seja realizada de forma efetiva aos colaboradores
envolvidos com a implantação da ferramenta SAP GRC Access Control, nossa estratégia de
treinamento considera uma programação e conteúdos específicos para cada agente do processo
futuro de concessão de acessos e por componente da ferramenta:

Material de
Presencial
referência

Page 24
Estratégia de Treinamento
Implementação SAP GRC Access Control v10

Material de
Presencial
referência

► Administradores GRC / Segurança / Basis:


- Foco na administração e configuração da ferramenta, aspectos técnicos e
funcionalidades;
► Owners:
- Risk owner: Conceitos e utilização do componente ARA e ARM para análise
de riscos SoD e interação no processo de concessão de acesso via GRC;
-Firefighter owner: Conceitos e utilização do componente EAM e ARM para
análise / aprovação de solicitações de acesso de usuários emergenciais.
- Role owner: Conceitos e utilização do componente BRM e ARM para
análise / aprovação de solicitações de mudanças em perfis de acesso.

Page 25
Estratégia de Treinamento
Implementação SAP GRC Access Control v10

Material de
Presencial
referência

► O material de referência poderá ser disponibilizado para todos os públicos que


utilizam a ferramenta SAP GRC, desde administradores até usuários finais. Será
elaborado com conteúdo didático para conhecimento das funcionalidades que serão
utilizadas no processo de gestão de Acessos com base nos processos definidos em
Blueprint.

► Material eletrônico (.pdf) pode ser disponibilizado via Intranet, Rede Corporativa e
outros canais de comunicação.

Page 26
Estratégia de Treinamento
Implementação SAP GRC Access Control v10

GRC-AC – Material de Treinamento:


 Ferramenta SAP GRC Access Control v10 configurada, passagem de conhecimento e
treinamento dos usuários para utilização do sistema (material em formato eletrônico .pdf ou .ppt
utilizado na passagem de conhecimento da solução SAP GRC Access Control):

Page 27
Produto Final

Page 28
Produto Final

GRC-AC – EAM (Firefighter):


 Modelo de gestão de usuários firefighter suportado pelo SAP GRC Access Control (Blueprint e
Configuração);

Page 29
Produto Final

GRC-AC – Fluxos ARM / BRM:


 Fluxos com a reestruturação do modelo de gestão de acessos suportado pelo SAP GRC
Access Control e responsabilidades na concessão de acessos.

Page 30
Produto Final

GRC-AC – Diagnóstico ARA:


 Relatórios de Diagnóstico de Segregação de Funções no ambiente SAP Neoenergia gerados
pelo SAP GRC-AC (ARA – Access Risk Analysis) com base na matriz de riscos SoD elaborada
inicialmente:

Page 31
Obrigado!

Page 32

Você também pode gostar