As facilidades que as interfaces do SAP FIORI proporcionaram para os processos de concessão de acesso e tratamento de Riscos SoD no SAP GRC Access Control.
Customizamos as interfaces de solicitação e avaliação de acesso para tornar mais fácil a interação dos usuários com a solução SAP Access Control.
Também desenvolvemos mecanismos em UI5 para facilitar a análise preventiva de detecção de vulnerabilidades em códigos ABAP.
Melhorias FIORI para o processo GRC Access Control
1.
2. Melhorias FIORI para o processo GRC Access Control
Cenário 2016/2017
No início de 2017, a equipe do Escritório de Risco & Compliance da Magnesita S/A (hoje
RHI Magnesita) estabeleceu metas de melhorias na gestão do processo de concessão de
acesso SAP.
Com foco na automação proporcionada por um workflow inteligente e otimizado, o
objetivo era conseguir transformar o processo “SAP Access Grant” em um modelo de
referência moderno, seguro, que diminuísse tempo e custo operacional, aumentasse a
assertividade e a velocidade no atendimento das solicitações e fosse bem avaliado pelos
usuários de toda a empresa.
Pensando nisso, o SAP GRC Access Control 10.1 foi o sistema escolhido para o
atingimento de todas essas metas.
Com o foco no tratamento dos riscos de acesso, a ferramenta foi totalmente
reconfigurada, com uma interface completamente nova desenvolvida com uso de
tecnologias do sistema SAP Fiori e UI5.
Além disso, com a parceria e expertise da TrustSis, foi possível mapear todas as
transações Z/Y, revisar e adequar a Matriz de Riscos SoD à realidade da Magnesita e
garantir o Compliance com as políticas de desenvolvimento ABAP.
4. Melhorias FIORI para o processo GRC Access Control
Processo de concessão de acesso, SAP ACCESS GRANT, na Magnesita S/A, em 2016/2017:
5. Melhorias FIORI para o processo GRC Access Control
Processo de concessão de acesso, SAP ACCESS GRANT, na Magnesita S/A, em 2016/2017
Principais GAPs:
1. Processo executado com muitas etapas manuais
2. Provisionamento manual ao final do processo (Help Desk altera acessos de usuários nos
backends SAP Produtivos, via SU01)
3. GRC Access Control com Matriz de Riscos com 306 riscos standard – riscos cadastrados
sem participação das áreas de negócio.
4. Muitas trocas de e-mails entre Help Desk da TI, responsáveis do negócio e Key Users
5. Aprovadores não tinham total clareza naquilo que estavam aprovando/rejeitando.
6. Média de 10.000 tickets por ano para concessão de acesso SAP.
7. Tempo médio de atendimento do chamado de concessão de acesso de cerca de 11 dias.
8. Opção pelo não uso dos workflows automatizados do GRC: Interface não é amigável.
Key-User
request
access on
ITSM
Requestor
Immediate
Manager
Approval
Access
Released
NO
YES YES
Transacti
ons is
critical?
IT checks
approval
and start
attendance
IT creates a
task to R&CO
team to
generate risks
IT sent Risks
for manager
analysis and
approval
Risk
Manager
approval
IT sent emails
asking for Role
owner analysis
and approval
Role
Owner
Approval
NO
77:48 h
164:49 h 262:44 h
Transaction
is critical?
Transaction
generate
SoD risk?
6. Melhorias FIORI para o processo GRC Access Control
A tela de aprovação do GRC pode ser complexa e conter muitas informações vistas como
“irrelevantes” para os aprovadores. Além disso, exige uma série de cliques para se
encontrar as informações consideradas relevantes para a tomada de decisão.
7. Melhorias FIORI para o processo GRC Access Control
Conseguir a informação sobre “o que se está aprovando/rejeitanto” pode ser um desafio
que exija um conhecimento mais profundo sobre as funcionalidades da ferramenta.
8. Melhorias FIORI para o processo GRC Access Control
Além disso, para o tratamento de riscos de acesso, mesmo para usuários avançados, no
SAP Access Control 10.x, ainda que bem customizado, as informações não são trazidas
em uma interface amigável, podendo até impossibilitar o tratamento eficaz de riscos.
9. Melhorias FIORI para o processo GRC Access Control
A interface Web Dynpro, ainda que mais amigável que o SAP core, não se adequa a todos
os tipos de tela, não possui funcionalidades para touchscreen e isso inviabiliza seu uso em
aparelhos como tablets e smartphones.
10. Melhorias FIORI para o processo GRC Access Control
Desenvolvida com foco em melhorar a User eXperience, o SAP Fiori trouxe a flexibilização
que a empresa buscava com uma nova interface, funcionalidades organizadas e
aplicativos mais simples e completos.
Highlights:
• As informações em tela são sempre relevantes para a tomada de decisão
• A construção das aplicações SAP Fiori objetivou criar uma UX semelhante ao de um
App de compras, mais familiar aos olhos dos usuários
• Com interface mais intuitiva, os usuários tiveram menos dificuldade no uso, diminuindo
custos de treinamento e o número de chamados de suporte
• As aplicações funcionam em qualquer tamanho de tela, se adequando
automaticamente conforme a necessidade
• Matriz de risco SoD revisada passou a contar com 75 riscos e todas as transações Z/Y
consideradas críticas.
• Funcionalidades extras foram incorporadas trazendo simplicidade ao processo de
tratamento da segregação de riscos de acesso (SoD)
• A ferramenta fez do GRC um serviço self-service, dispensando a abertura de chamados
para o Help Desk e evitando gargalos no atendimento pela TI.
11. Melhorias FIORI para o processo GRC Access Control
Resultados colhidos após seis meses:
368
Tickets
abertos por
mês em média
68% das solicitações
precisam de transações
críticas aprovadas pela
área de negócio.
23% geram riscos SoD que são
avaliados pela área de negócio.
55%*
das solicitações são
abertas de forma
self-service, SEM
participação da TI
em nenhum step
* No mês de novembro/2017 a RHI e a Magnesita se fundiram em uma única empresa, o que gerou um aumento no número de solicitações para atender a fusão.
12. Melhorias FIORI para o processo GRC Access Control
O grupo das aplicações se dividiu entre o processo de concessão de acesso (ARM) e o de
revisão de acesso de usuários (UAR). Para a concessão de acesso, foram criadas três
aplicações e uma aplicação foi criada para a revisão de acesso de usuários.
13. Melhorias FIORI para o processo GRC Access Control
Para os Key Users, solicitantes das áreas de negócio, o app “Request Access” foi criado
como um app de compras. Neste app, o usuário pode pesquisar e aplicar filtros pelas
características mais usadas pelas áreas para identificar os acessos que necessitam.
14. Melhorias FIORI para o processo GRC Access Control
Campos de busca obrigatórios servem de orientação para o usuário sobre aquilo que é
fundamental para realizar uma busca precisa. Ainda existe a possibilidade de combinar
critérios de busca como códigos de transações, nomes de funções e objetos de nível
organizacional.
15. Melhorias FIORI para o processo GRC Access Control
O usuário solicitante informa para quem será solicitado o acesso, quem é o gestor
responsável pelo usuário*, para qual empresa, o landscape, a transação ou nome da
função (aqui os solicitantes podem combinar valores de transação com objetos
organizacionais: plantas, empresas, tipo de documento, etc) e fazer a busca.
O valor retornado pode ser filtrado. Após selecionada a função desejada, basta adicionar
ao shopping cart e seguir para a tela final.
Clique no “+” para adicionar
um novo parâmetro de busca
1 2
5
6
3
7
8
9
4
16. Melhorias FIORI para o processo GRC Access Control
Na tela final de solicitação, o Key User deve informar o motivo da solicitação, pode alterar
a data de validade para o acesso e, caso esteja tudo certo, fazer o envio.
Essa solicitação, uma vez criada, seguirá pelo fluxo MSMP do SAP Access Control 10.x
para os aprovadores. Nesse ponto a análise de risco será gerada automaticamente e será
gerado um número de solicitação no GRC. O usuário também será notificado por e-mail.
10
11
12
17. Melhorias FIORI para o processo GRC Access Control
A aplicação “Verify Access Request Status” mostra, em tempo real, em que etapa de
aprovação está a solicitação aberta pelo usuário. Dessa forma o solicitante sabe
exatamente com qual aprovador está sua solicitação de acesso, além das informações de
contato desse aprovador.
Dessa forma o solicitante e o aprovador podem estabelecer contato direto, sem
necessidade de envolvimento da TI.
18. Melhorias FIORI para o processo GRC Access Control
A aplicação “Verify Access Request Status” mostra, em tempo real, em que etapa de
aprovação está a solicitação aberta pelo usuário. Dessa forma o solicitante sabe
exatamente com qual aprovador está sua solicitação de acesso, além das informações de
contato desse aprovador.
Dessa forma o solicitante e o aprovador podem estabelecer contato direto, sem
necessidade de envolvimento da TI.
19. Melhorias FIORI para o processo GRC Access Control
A aplicação “Verify Access Request Status” mostra, em tempo real, em que etapa de
aprovação está a solicitação aberta pelo usuário. Dessa forma o solicitante sabe
exatamente com qual aprovador está sua solicitação de acesso, além das informações de
contato desse aprovador.
Dessa forma o solicitante e o aprovador podem estabelecer contato direto, sem
necessidade de envolvimento da TI.
20. Melhorias FIORI para o processo GRC Access Control
Após criada a solicitação, o usuário aprovador recebe um e-mail avisando a ele da
necessidade de aprovar os acessos. No corpo do e-mail vão os links com manuais passo-
a-passo para proceder com as aprovações, bem como o link para acesso ao SAP Fiori.
21. Melhorias FIORI para o processo GRC Access Control
Após criada a solicitação, o usuário aprovador recebe um e-mail avisando a ele da
necessidade de aprovar os acessos. No corpo do e-mail vão os links com manuais passo-
a-passo para proceder com as aprovações, bem como o link para acesso ao SAP Fiori.
22. Melhorias FIORI para o processo GRC Access Control
Após criada a solicitação, o usuário aprovador recebe um e-mail avisando a ele da
necessidade de aprovar os acessos. No corpo do e-mail vão os links com manuais passo-
a-passo para proceder com as aprovações, bem como o link para acesso ao SAP Fiori.
23. Melhorias FIORI para o processo GRC Access Control
Após criada a solicitação, o usuário aprovador recebe um e-mail avisando a ele da
necessidade de aprovar os acessos. No corpo do e-mail vão os links com manuais passo-
a-passo para proceder com as aprovações, bem como o link para acesso ao SAP Fiori.
24. Melhorias FIORI para o processo GRC Access Control
Após criada a solicitação, o usuário aprovador recebe um e-mail avisando a ele da
necessidade de aprovar os acessos. No corpo do e-mail vão os links com manuais passo-
a-passo para proceder com as aprovações, bem como o link para acesso ao SAP Fiori.
25. Melhorias FIORI para o processo GRC Access Control
Após criada a solicitação, o usuário aprovador recebe um e-mail avisando a ele da
necessidade de aprovar os acessos. No corpo do e-mail vão os links com manuais passo-
a-passo para proceder com as aprovações, bem como o link para acesso ao SAP Fiori.
26. Melhorias FIORI para o processo GRC Access Control
Após criada a solicitação, o usuário aprovador recebe um e-mail avisando a ele da
necessidade de aprovar os acessos. No corpo do e-mail vão os links com manuais passo-
a-passo para proceder com as aprovações, bem como o link para acesso ao SAP Fiori.
27. Melhorias FIORI para o processo GRC Access Control
Após criada a solicitação, o usuário aprovador recebe um e-mail avisando a ele da
necessidade de aprovar os acessos. No corpo do e-mail vão os links com manuais passo-
a-passo para proceder com as aprovações, bem como o link para acesso ao SAP Fiori.
28. Melhorias FIORI para o processo GRC Access Control
A transação customizada ZGRAC_FIORI_APPR foi a solução criada para se comunicar
com a aplicação SAP Fiori do GRC, permitindo a customização do comportamento da tela
de aprovação para cada etapa (stage) do fluxo MSMP, por caminho (path) seguido.
Dessa forma, o fluxo mostra ou oculta elementos, requer ações dos aprovadores (como
rodar ou não a análise de risco) e controla funcionalidade de encaminhamento das
solicitações para outros aprovadores.
29. Melhorias FIORI para o processo GRC Access Control
Criamos também uma solução para solicitação de acesso baseada em usuário de
referência (model user). Nessa aplicação SAP Fiori, basta informar o usuário modelo, o
usuário a ser beneficiado pelos acessos, o gestor do usuário* e todos os acessos são
solicitados para o usuário, conforme acessos do usuário modelo.
* O gestor do usuário passará a ser automaticamente atribuído, após conexão entre GRC e SAP HCM
30. Melhorias FIORI para o processo GRC Access Control
Criamos também uma solução para solicitação de acesso baseada em usuário de
referência (model user). Nessa aplicação SAP Fiori, basta informar o usuário modelo, o
usuário a ser beneficiado pelos acessos, o gestor do usuário* e todos os acessos são
solicitados para o usuário, conforme acessos do usuário modelo.
* O gestor do usuário passará a ser automaticamente atribuído, após conexão entre GRC e SAP HCM
31. ABAP Test Cockpit
É um framework integrado ao ABAP Workbench. O ATC simplifica consideravelmente a
gestão Compliance de programas SAP, possibilitando:
• Checagens extendidas em códigos de programas
• Executar testes de performance e usabilidade de programas
• Checagem de pacotes criados e executa Security Checks
Melhorias Sugeridas para o processo de Governança ABAP
Painel FIORI do usuário Administrador
32. Interface FIORI do usuário Administrador (ETAPA 1)
Melhorias Sugeridas para o processo de Governança ABAP
33. Interface FIORI do usuário Conformidade (ETAPA 2)
Etapa 2 – Confomidade
Melhorias Sugeridas para o processo de Governança ABAP
34. Interface FIORI Mobile do usuário Conformidade (ETAPA 2)
Aprovação via Mobile
Neste etapa os Analistas de Conformidade
e Segurança realizam as seguintes
atividades preventivamente:
Requisitos SOx e Segurança
Proposta de nomenclatura para nova transação (se93)
Proposta para novos objetos de autorização
Atualização da matriz de Riscos SoD
Atualização da tabela de governança ABAP USOBT (su24)
Simulação antecipada de Riscos SoD
Avaliação do impacto de Riscos SoD na população de
usuários
Requisitos de Qualidade
Regras de Qualidade de Código
Regras de desempenho
Etc.
Melhorias Sugeridas para o processo de Governança ABAP
35. Exemplos de fluxo de governança ABAP
Melhorias Sugeridas para o processo de Governança ABAP
36. Melhorias FIORI para o processo GRC Access Control
Obrigado a todos!
Dúvidas?
Entre em contato
Glaucio Coutinho
Governance, Risk and Compliance Specialist
Phone: +55 21 98452 8246
+55 31 99993 8246
E-mail: glaucio.coutinho@contractor.rhimagnesita.com
Skype: glauciocoutinho
www.rhimagnesita.com