Enviar pesquisa
Carregar
SAP Inside Track - Belo Horizonte
•
Transferir como PPTX, PDF
•
1 gostou
•
1,260 visualizações
G
Glaucio Coutinho
Seguir
Concessão de acesso como serviço self-service para usuários das áreas de negócio.
Leia menos
Leia mais
Tecnologia
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 39
Baixar agora
Recomendados
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
Lenur Dzhemiliev
Insecure direct object reference (null delhi meet)
Insecure direct object reference (null delhi meet)
Abhinav Mishra
Engenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear Mentes
Rafael Jaques
Taking Splunk to the Next Level - Management
Taking Splunk to the Next Level - Management
Splunk
Broken access controls
Broken access controls
Akansha Kesharwani
Application Lifetime Management
Application Lifetime Management
OutSystems Technical Knowledge
Security Testing Training With Examples
Security Testing Training With Examples
Alwin Thayyil
Bug bounty
Bug bounty
n|u - The Open Security Community
Recomendados
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
Lenur Dzhemiliev
Insecure direct object reference (null delhi meet)
Insecure direct object reference (null delhi meet)
Abhinav Mishra
Engenharia Social: A Doce Arte de Hackear Mentes
Engenharia Social: A Doce Arte de Hackear Mentes
Rafael Jaques
Taking Splunk to the Next Level - Management
Taking Splunk to the Next Level - Management
Splunk
Broken access controls
Broken access controls
Akansha Kesharwani
Application Lifetime Management
Application Lifetime Management
OutSystems Technical Knowledge
Security Testing Training With Examples
Security Testing Training With Examples
Alwin Thayyil
Bug bounty
Bug bounty
n|u - The Open Security Community
A Guide to AWS Penetration Testing.pptx
A Guide to AWS Penetration Testing.pptx
saurabhpandey251355
Fluxograma processo - desenvolvimento de software
Fluxograma processo - desenvolvimento de software
Aragon Vieira
O que é DevOps? Introdução à abordagem pela IBM
O que é DevOps? Introdução à abordagem pela IBM
Felipe Freire
Papel do QA na Transformação Ágil
Papel do QA na Transformação Ágil
Elias Nogueira
Web Exploitation Security
Web Exploitation Security
Aman Singh
Splunk-Presentation
Splunk-Presentation
PrasadThorat23
Digital Insurance Enterprise: The Nest Case Study
Digital Insurance Enterprise: The Nest Case Study
Tata Consultancy Services
Broken access control
Broken access control
Priyanshu Gandhi
Red Team Framework
Red Team Framework
👀 Joe Gray
Lean inception
Lean inception
Mayra de Souza
Vulnerability Management
Vulnerability Management
Risk Analysis Consultants, s.r.o.
Getting Started with API Security Testing
Getting Started with API Security Testing
SmartBear
Presentacion Migracion de Sistemas Computacionales
Presentacion Migracion de Sistemas Computacionales
Jesus Jimenez
Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Lance Peterman
Introducing the Oracle Cloud Infrastructure (OCI) Best Practices Framework
Introducing the Oracle Cloud Infrastructure (OCI) Best Practices Framework
Revelation Technologies
Demystifying AuthN/AuthZ Using OIDC & OAuth2
Demystifying AuthN/AuthZ Using OIDC & OAuth2
NGINX, Inc.
From Java 17 to 21- A Showcase of JDK Security Enhancements
From Java 17 to 21- A Showcase of JDK Security Enhancements
Ana-Maria Mihalceanu
SERVERLESS MIDDLEWARE IN AZURE FUNCTIONS
SERVERLESS MIDDLEWARE IN AZURE FUNCTIONS
CodeOps Technologies LLP
5 Highest-Impact CASB Use Cases
5 Highest-Impact CASB Use Cases
Netskope
Secrets of Google VRP by: Krzysztof Kotowicz, Google Security Team
Secrets of Google VRP by: Krzysztof Kotowicz, Google Security Team
OWASP Delhi
Maximo hse overview.en.pt
Maximo hse overview.en.pt
PauloSergioDiasCruz
Perfis por funcao_em_sistemas_corporativos
Perfis por funcao_em_sistemas_corporativos
Henrique Rodrigues Terra
Mais conteúdo relacionado
Mais procurados
A Guide to AWS Penetration Testing.pptx
A Guide to AWS Penetration Testing.pptx
saurabhpandey251355
Fluxograma processo - desenvolvimento de software
Fluxograma processo - desenvolvimento de software
Aragon Vieira
O que é DevOps? Introdução à abordagem pela IBM
O que é DevOps? Introdução à abordagem pela IBM
Felipe Freire
Papel do QA na Transformação Ágil
Papel do QA na Transformação Ágil
Elias Nogueira
Web Exploitation Security
Web Exploitation Security
Aman Singh
Splunk-Presentation
Splunk-Presentation
PrasadThorat23
Digital Insurance Enterprise: The Nest Case Study
Digital Insurance Enterprise: The Nest Case Study
Tata Consultancy Services
Broken access control
Broken access control
Priyanshu Gandhi
Red Team Framework
Red Team Framework
👀 Joe Gray
Lean inception
Lean inception
Mayra de Souza
Vulnerability Management
Vulnerability Management
Risk Analysis Consultants, s.r.o.
Getting Started with API Security Testing
Getting Started with API Security Testing
SmartBear
Presentacion Migracion de Sistemas Computacionales
Presentacion Migracion de Sistemas Computacionales
Jesus Jimenez
Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Lance Peterman
Introducing the Oracle Cloud Infrastructure (OCI) Best Practices Framework
Introducing the Oracle Cloud Infrastructure (OCI) Best Practices Framework
Revelation Technologies
Demystifying AuthN/AuthZ Using OIDC & OAuth2
Demystifying AuthN/AuthZ Using OIDC & OAuth2
NGINX, Inc.
From Java 17 to 21- A Showcase of JDK Security Enhancements
From Java 17 to 21- A Showcase of JDK Security Enhancements
Ana-Maria Mihalceanu
SERVERLESS MIDDLEWARE IN AZURE FUNCTIONS
SERVERLESS MIDDLEWARE IN AZURE FUNCTIONS
CodeOps Technologies LLP
5 Highest-Impact CASB Use Cases
5 Highest-Impact CASB Use Cases
Netskope
Secrets of Google VRP by: Krzysztof Kotowicz, Google Security Team
Secrets of Google VRP by: Krzysztof Kotowicz, Google Security Team
OWASP Delhi
Mais procurados
(20)
A Guide to AWS Penetration Testing.pptx
A Guide to AWS Penetration Testing.pptx
Fluxograma processo - desenvolvimento de software
Fluxograma processo - desenvolvimento de software
O que é DevOps? Introdução à abordagem pela IBM
O que é DevOps? Introdução à abordagem pela IBM
Papel do QA na Transformação Ágil
Papel do QA na Transformação Ágil
Web Exploitation Security
Web Exploitation Security
Splunk-Presentation
Splunk-Presentation
Digital Insurance Enterprise: The Nest Case Study
Digital Insurance Enterprise: The Nest Case Study
Broken access control
Broken access control
Red Team Framework
Red Team Framework
Lean inception
Lean inception
Vulnerability Management
Vulnerability Management
Getting Started with API Security Testing
Getting Started with API Security Testing
Presentacion Migracion de Sistemas Computacionales
Presentacion Migracion de Sistemas Computacionales
Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Privileged Access Management - Unsticking Your PAM Program - CIS 2015
Introducing the Oracle Cloud Infrastructure (OCI) Best Practices Framework
Introducing the Oracle Cloud Infrastructure (OCI) Best Practices Framework
Demystifying AuthN/AuthZ Using OIDC & OAuth2
Demystifying AuthN/AuthZ Using OIDC & OAuth2
From Java 17 to 21- A Showcase of JDK Security Enhancements
From Java 17 to 21- A Showcase of JDK Security Enhancements
SERVERLESS MIDDLEWARE IN AZURE FUNCTIONS
SERVERLESS MIDDLEWARE IN AZURE FUNCTIONS
5 Highest-Impact CASB Use Cases
5 Highest-Impact CASB Use Cases
Secrets of Google VRP by: Krzysztof Kotowicz, Google Security Team
Secrets of Google VRP by: Krzysztof Kotowicz, Google Security Team
Semelhante a SAP Inside Track - Belo Horizonte
Maximo hse overview.en.pt
Maximo hse overview.en.pt
PauloSergioDiasCruz
Perfis por funcao_em_sistemas_corporativos
Perfis por funcao_em_sistemas_corporativos
Henrique Rodrigues Terra
Insight inc institucional
Insight inc institucional
Marcus Vinicius Coufal
Cv wagner 2020_v1
Cv wagner 2020_v1
Wagner Rogério Souza
Melhorias na interface SAP FIORI para o processo de concessão de acesso com o...
Melhorias na interface SAP FIORI para o processo de concessão de acesso com o...
Glaucio Coutinho
Apresentação Final
Apresentação Final
betinho87
requisitos de software.pptx
requisitos de software.pptx
AlanCunha14
Blue it
Blue it
Bruce Ds
úLtimo dia
úLtimo dia
Bruce Ds
Blue it
Blue it
Bruce Ds
Apresentação1
Apresentação1
Bruce Ds
Blue it
Blue it
Bruce Ds
Institucional quality 2020
Institucional quality 2020
Jorge Biesczad Jr.
Apresentação BP Company - Produtos e Serviços
Apresentação BP Company - Produtos e Serviços
Sergio Calura
Projeto sap
Projeto sap
Elsa Matânia
A Arte dos Testes de Performance Aplicacional
A Arte dos Testes de Performance Aplicacional
Nuno Baptista Rodrigues
18.ago topázio 14.30_389_aeselpa
18.ago topázio 14.30_389_aeselpa
itgfiles
Bpm gestao de processos empresariais apresentação executiva - 20101215-semcase
Bpm gestao de processos empresariais apresentação executiva - 20101215-semcase
PATH ITTS - DATA GOVERNANCE INNOVATION
Gestão de Serviços de TIC
Gestão de Serviços de TIC
Eduardo Fagundes
ALM Summit - DevOps - VSALM e System Center Um Casamento de Sucesso
ALM Summit - DevOps - VSALM e System Center Um Casamento de Sucesso
Alan Carlos
Semelhante a SAP Inside Track - Belo Horizonte
(20)
Maximo hse overview.en.pt
Maximo hse overview.en.pt
Perfis por funcao_em_sistemas_corporativos
Perfis por funcao_em_sistemas_corporativos
Insight inc institucional
Insight inc institucional
Cv wagner 2020_v1
Cv wagner 2020_v1
Melhorias na interface SAP FIORI para o processo de concessão de acesso com o...
Melhorias na interface SAP FIORI para o processo de concessão de acesso com o...
Apresentação Final
Apresentação Final
requisitos de software.pptx
requisitos de software.pptx
Blue it
Blue it
úLtimo dia
úLtimo dia
Blue it
Blue it
Apresentação1
Apresentação1
Blue it
Blue it
Institucional quality 2020
Institucional quality 2020
Apresentação BP Company - Produtos e Serviços
Apresentação BP Company - Produtos e Serviços
Projeto sap
Projeto sap
A Arte dos Testes de Performance Aplicacional
A Arte dos Testes de Performance Aplicacional
18.ago topázio 14.30_389_aeselpa
18.ago topázio 14.30_389_aeselpa
Bpm gestao de processos empresariais apresentação executiva - 20101215-semcase
Bpm gestao de processos empresariais apresentação executiva - 20101215-semcase
Gestão de Serviços de TIC
Gestão de Serviços de TIC
ALM Summit - DevOps - VSALM e System Center Um Casamento de Sucesso
ALM Summit - DevOps - VSALM e System Center Um Casamento de Sucesso
SAP Inside Track - Belo Horizonte
1.
PUBLIC April 7, 2018 Concessão
de acessos SAP como um serviço self-service para usuários das áreas de negócio.
2.
2PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ Nessa apresentação abordarei como a ferramenta GRC SAP Access Control 10.1 pode acelerar o provisionamento de acesso nos ambientes SAP. Como transformar o processo de concessão de roles SAP em um serviço self-service, disponível para usuários das áreas de negócio, de forma automática, garantindo a segurança dos acessos e sem a necessidade de gerar chamados de serviços para a área de TI da companhia. De que forma o GRC-AC pode ter seus workflows MSMP desenhados para oferecer flexibilidade de se adequar às regras de negócio através de regras criadas com BRF+. Mostrarei como a Matriz de Riscos SoD e Controle pode ser usada para proteger o negócio de riscos de acesso. Abordarei também recursos de frontend NWBC e SAP Fiori para melhorias em UX (User eXperience) e mobilidade. Abstract
3.
3PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 1. O que é SAP Access Control e como funciona? 2. Premissas necessárias para o SAP Access Control 3. Matriz de Risco de Segregação de Função (SoD – Segregation of Duties) 4. Revisão de perfis de acesso e Business Roles 5. Business Rule Framework Plus (BRF+) e Workflows MSMP 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) 7. Case de negócio: Concessão de acesso de forma self-service no GRC-AC 8. Contatos Table of Contents
4.
4PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 1. O que é SAP Access Control e como funciona? O SAP Access Control é a solução SAP para gerenciar acessos trazendo conformidade e prevenção de riscos para os processos de concessão e administração de autorizações em ambientes SAP e não-SAP
5.
5PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 1. O que é SAP Access Control e como funciona? Governança de Acesso Análise de Risco Procura e remedia violações críticas e de Segregação de Funções Acesso de usuário Automatiza a administração de acesso para aplicações da empresa Gerencia Funções Define e gerencia funções nos termos do negócio Monitora privilégios Monitora o acesso emergencial e o uso das transações. Certifica autorizações Garante que as atribuições de acesso são realmente necessárias
6.
6PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 1. O que é SAP Access Control e como funciona?
7.
7PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 1. O que é SAP Access Control e como funciona? Uma vez conectado aos ambientes o SAP Access Control se torna uma central de administração de acessos e permissões de usuários. A solução garante conformidade com a SOX para tratamento e monitoramento de Riscos de Segregação de Função (SoD), gerencia processos periódicos de Compliance (como revisões de risco e revisões de acessos de usuários), gerencia o conteúdo das funções SAP (“roles”) e automatiza o acesso emergencial (Firefighter). Tudo isso mantendo todos os registros e logs para atender os processos de auditoria e controles internos. 03 ARA EAM BRM Análise de Risco, Matriz de Riscos SoD, Revisão de Riscos, Aplicação de Controles Mitigatórios Acesso Emergencial (Firefighter) Gerenciamento de funções de autorização (Roles) ARM Solicitações de Acesso, Revisão de acesso, Reports e Dashboards, Workflows MSMP Access Lifecycle
8.
8PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 2. Premissas necessárias para o SAP Access Control Para que consigamos sucesso na implementação do SAP Access Control, são necessários os cuidados: 1. Identificar os processos que serão atendidos: executar um mapeamento AS-IS / TO-BE 2. Identificar as pessoas de interesse das áreas de negócio que deverão ser envolvidas, e garantir que essas pessoas estejam alinhadas e façam parte da equipe que fará treinamento, testes e validações 3. Mapear adequadamente os papeis e responsabilidades: uso de RACI Matrix
9.
9PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 3. Matriz de Risco de Segregação de Função (SoD – Segregation of Duties) A Matriz de Risco deve ser elaborada através de um mapeamento de atividades junto às áreas de negócio. Essas atividades devem estar dispostas de forma visual, para facilitar o entendimento e envolvimento dos usuários de negócio. Os usuários chaves escolhidos deverão indicar os riscos que podem afetar (ou afetam) o seu processo de negócio. Uma vez criada, caberá identificar os riscos, os respectivos processos de negócio impactados por eles, a descrição de seus impactos, os responsáveis pelos riscos e os objetivos que um controle deve atingir para que esse risco esteja mitigado em acordo com as políticas da empresa.
10.
10PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ Identificar ou aprovar conflitos Classificar Riscos: Alto, Médio, Baixo, etc Identificar novos riscos e condições para monitoramento futuro Referência de regras de melhores práticas no ambiente Regras validadas Regra e testes customizados Verificação em relação a usuários de teste e funções (roles) Rodar análise analítica Mensurar esforço de limpeza Analisar funções (roles) Analisar usuários Modificar regras conforme análise Ajustar alertas para distinguir risco executado para risco existente Determinar alternativas para eliminação de acessos Apresentar análise de risco e escolher ações corretivas Documentar aprovação para ações corretivas Modificar/criar atribuições para funções ou usuários Desenhar controles alternativos para mitigar os riscos Educar gestores sobre gerenciamento em conflitos de aprovação e monitoramento Documentar o processo para monitorar controle mitigatório Implementar controles Comunicar mudanças em atribuições de funções (roles) e usuários Simular mudanças em funções (roles) e usuários Implementar Alertas para monitorar por novos riscos selecionados e testes de controle mitigatório. 3. Matriz de Risco de Segregação de Função (SoD – Segregation of Duties) O processo de criação dos Riscos no SAP Access Control segue as etapas abaixo: Reconhecimento do Risco Análise Construção da Regra Remediação Mitigação Compliance Contínuo
11.
11PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 3. Matriz de Risco de Segregação de Função (SoD – Segregation of Duties) Após criar o risco, ele vai se ligar: à Matriz SoD, a um processo de negócio, e às transações e objetos de autorização através das funções (functions) do SAP Access Control:
12.
12PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 3. Matriz de Risco de Segregação de Função (SoD – Segregation of Duties) No processo de catalogação dos riscos devemos ter atenção às duas descrições: a descrição detalhada e a descrição resumida. Dessa forma, ao utilizar o GRC de forma self-service, os usuários de negócio irão conseguir compreender do que se trata o problema (risco) e aplicar os controles ou proceder com as remediações, com menos necessidade de suporte ou treinamentos adicionais.
13.
13PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 3. Matriz de Risco de Segregação de Função (SoD – Segregation of Duties) Com a interface Fiori, é possível disponibilizar aos usuários essa informação clara sobre os riscos em uma solicitação de acesso do GRC. De forma que o usuário possa agir proativamente na remediação e mitigação dos riscos de segregação de função. Para o SAP GRC 10.1 e 12 o Fiori acompanha a solução. Bem como algumas aplicações standard.
14.
14PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 4. Revisão de Perfis de Acesso e Business Roles? Business Role é a função de negócio, criada e gerenciada pelo GRC, para tornar mais simples a forma como o usuário final identifica os acessos que ele necessita para executar suas atividades na empresa. Em vez de precisar solicitar funções individuais (Single roles) em cada um dos sistemas, o que tornaria o processo complexo, do ponto de vista do negócio, o usuário precisa solicitar apenas um único acesso na solicitação.
15.
15PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 4. Revisão de Perfis de Acesso e Business Roles? As funções técnicas que compõe a Business Role precisam estar otimizadas para essa estratégia de implementação e assim tenhamos o máximo aproveitamento dessa estrutura. Uma forma de facilitar a implementação de Business Roles é possuir roles simples ou compostas que representem uma única atividade (com os objetos de autorização parametrizados de forma adequada a essa atividade) ou um papel de negócio que reflita a função do usuário. Dessa forma, garantimos eficiência operacional que resulta em diminuição de custos, e os ambientes ficam prontos para atendimentos das iniciativas de Compliance. Eficiência operacional Gerenciamento de Risco Satisfação do usuário final Melhora da experiência do usuário Terminologia amigável Solicitação de acesso com uma única função Apenas uma aprovação é necessária Economia de tempo e dinheiro Múltiplos Sistemas (ECC, BW,etc) Múltiplos Landscapes Redução de tempo e recursos necessários para solicitar e provisionar acessos Prepara para automação de atribuição de acesso Iniciativas de Compliance Gerenciamento de Risco SoD e mitigação com controles em nível de função Eliminação da solicitações de “Cópia de Usuário” ou “Cópia de Acessos” Padronização dos acessos por posição ou função.
16.
16PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 4. Revisão de Perfis de Acesso e Business Roles? Através do SAP Access Control, por meio dos jobs de sincronismo e relatórios de utilização, podemos criar Business Roles baseadas em posição ou função, levando em consideração os acessos que os usuários já possuem e realmente utilizam nos ambientes. Dessa forma, conseguimos implementar Business Roles que atendem cada posição ou função na empresa. Em seguida, essas Business Roles são comparadas à Matriz de Risco, e adequadamente tratadas. Após o tratamento de riscos, essas Business Roles ficam disponíveis para serem solicitadas. Usuários Atribuição de Acesso Utilização pelos Usuários Dados de RH ou da base de usuários Roles atribuídas nos Sistemas Informações de utilização das roles por usuário Análise das roles por Regras de Risco SoD
17.
17PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 4. Revisão de Perfis de Acesso e Business Roles? Experiência e conhecimento das áreas de negócio sobre suas atividades Conhecimento dos gestores de negócios e documentação das atividades Requisitos e regras de gerenciamento e conformidade de riscos (ex.: SoD) Ajustes Top-Down ao desenho da Business Role conforme entendido pela área de negócio Bottom-Up da proposta do desenho da Business Role Uso do BRM para gestão das Business Roles. Verificação das reais necessidades dos usuários Coleta e análise das informações de utilização dos usuários nos sistemas Captura das informações organizacionais e de posição ou função dos usuários Desenho da Business Role
18.
18PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 5. Business Rule Framework Plus (BRF+) e Workflows MSMP No SAP Access Control, as regras BRFplus são utilizadas para criar regras que obedecem tabelas de decisão, verificar condições em Solicitações de Acesso, indicar aprovadores, etc. Essas regras facilitam a manutenção dos fluxos pois retira do hard code as condições de negócio que podem mudar com o tempo, deixando-as a parte. Dessa forma, conforme mudam algumas políticas, rapidamente é possível responder a essas mudanças ajustando as regras pelo Framework.
19.
19PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 5. Business Rule Framework Plus (BRF+) e Workflows MSMP Para atender o fluxo MSMP, e podem ser criadas regras BRF+ que fazem com que o fluxo seja mais inteligente, exijam aprovação de cada aprovador apenas uma única vez, mesmo que esse aprovador exerça mais de um papel no fluxo. Além disso, a regra também pode ser otimizada para obter o provisionamento no final de cada caminho do fluxo. Por isso houve a necessidade da criação de uma tabela de decisão que redireciona cada role para o caminho de seu subprocesso. Logo, os usuários recebem os acessos à medida que as aprovações são feitas.
20.
20PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Desenvolvida com foco em melhorar a User eXperience, o SAP Fiori trouxe a flexibilização que faltava ao GRC com uma nova interface, funcionalidades organizadas e aplicativos mais simples e completos tornam ainda mais simples a interação do usuário de negócio com a ferramenta. Com uma arquitetura intuitiva, o Fiori melhora a percepção dos usuários sobre os processos que envolvem acessos e riscos e dispensam, em muitos casos, treinamentos demorados e caros. Highlights de pontos a serem observados na criação das telas Fiori: • As informações em tela devem ser sempre relevantes para a tomada de decisão dos aprovadores • Para solicitação de acesso, uma estratégia que se mostrou eficiente foi a de criar uma UX semelhante ao de um App de compras, mais familiar aos olhos dos usuários de negócio • Com interface mais intuitiva, os usuários tiveram menos dificuldade no uso, diminuindo custos de treinamento e o número de chamados de suporte • As aplicações funcionam em qualquer tamanho de tela, se adequando automaticamente conforme a necessidade • Com uma Matriz de Risco SoD revisada, os riscos fazem sentido para o usuário • O Fiori possibilita trazer ao GRC funcionalidades extras que simplificam o processo de tratamento da segregação de riscos de acesso (SoD)
21.
21PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A O grupo das aplicações se dividiu entre o processo de concessão de acesso (ARM) e o de revisão de acesso de usuários (UAR). Para a concessão de acesso, foram criadas três aplicações e uma aplicação foi criada para a revisão de acesso de usuários. Para os Key Users, solicitantes das áreas de negócio, o app “Request Access” foi criado como um app de compras. Neste app, o usuário pode pesquisar e aplicar filtros pelas características mais usadas pelas áreas para identificar os acessos que necessitam.
22.
22PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A Campos de busca obrigatórios servem de orientação para o usuário sobre aquilo que é fundamental para realizar uma busca precisa. Ainda existe a possibilidade de combinar critérios de busca como códigos de transações, nomes de funções e objetos de nível organizacional.
23.
23PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A O usuário solicitante informa para quem será solicitado o acesso, quem é o gestor responsável pelo usuário*, para qual empresa, o landscape, a transação ou nome da função (aqui os solicitantes podem combinar valores de transação com objetos organizacionais: plantas, empresas, tipo de documento, etc) e fazer a busca. O valor retornado pode ser filtrado. Após selecionada a função desejada, basta adicionar ao shopping cart e seguir para a tela final.
24.
24PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A Na tela final de solicitação, o Key User deve informar o motivo da solicitação, pode alterar a data de validade para o acesso e, caso esteja tudo certo, fazer o envio. Essa solicitação, uma vez criada, seguirá pelo fluxo MSMP do SAP Access Control 10.x para os aprovadores. Nesse ponto a análise de risco será gerada automaticamente e será gerado um número de solicitação no GRC. O usuário também será notificado por e- mail.
25.
25PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A A aplicação “Verify Access Request Status” mostra, em tempo real, em que etapa de aprovação está a solicitação aberta pelo usuário. Dessa forma o solicitante sabe exatamente com qual aprovador está sua solicitação de acesso, além das informações de contato desse aprovador. Dessa forma o solicitante e o aprovador podem estabelecer contato direto, sem necessidade de envolvimento da TI.
26.
26PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A
27.
27PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A
28.
28PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A Após criada a solicitação, o usuário aprovador recebe um e-mail avisando a ele da necessidade de aprovar os acessos. No corpo do e-mail vão os links com manuais passo-a-passo para proceder com as aprovações, bem como o link para acesso ao SAP Fiori.
29.
29PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A
30.
30PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A
31.
31PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A
32.
32PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A
33.
33PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A
34.
34PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5) Case: Magnesita S/A Após re-execução da análise de risco, uma vez tratados ou aplicado o controle, o report retorna vazio. O que significa que nenhum risco falta ser tratado.
35.
35PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 7. Processo de concessão de acesso de forma self-service no GRC-AC Case:
36.
36PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ Processo de concessão de acesso, SAP ACCESS GRANT, na Magnesita S/A, em 2016/2017: 7. Processo de concessão de acesso de forma self-service no GRC-AC
37.
37PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ Processo de concessão de acesso, SAP ACCESS GRANT, na Magnesita S/A, em 2016/2017: Processo executado com muitas etapas manuais 1. Provisionamento manual ao final do processo (Help Desk altera acessos de usuários nos backends SAP Produtivos, via SU01) 2. GRC Access Control com Matriz de Riscos com 306 riscos standard – riscos cadastrados sem participação das áreas de negócio. 3. Muitas trocas de e-mails entre Help Desk da TI, responsáveis do negócio e Key Users 4. Aprovadores não tinham total clareza naquilo que estavam aprovando/rejeitando. 5. Média de 10.000 tickets por ano para concessão de acesso SAP. 6. Tempo médio de atendimento do chamado de concessão de acesso de cerca de 11 dias. 7. Opção pelo não uso dos workflows automatizados do GRC: Interface não é amigável. 7. Processo de concessão de acesso de forma self-service no GRC-AC Key-User request access on ITSM Requestor Immediate Manager Approval Access Released NO YES YES Transacti ons is critical? IT checks approval and start attendance IT creates a task to R&CO team to generate risks IT sent Risks for manager analysis and approval Risk Manager approval IT sent emails asking for Role owner analysis and approval Role Owner Approval NO 77:48 h 164:49 h 262:44 h Transaction is critical? Transaction generate SoD risk?
38.
38PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 368 Tickets abertos por mês em média 68% das solicitações precisam de transações críticas aprovadas pela área de negócio. 23% geram riscos SoD que são avaliados pela área de negócio. 55%* das solicitações são abertas de forma self-service, SEM participação da TI em nenhum step 7. Processo de concessão de acesso de forma self-service no GRC-AC Com Business Roles bem estruturadas, um processo otimizado e bem definido, com riscos de segregação aderentes e revisados, bem como a construção de uma interface intuitiva e amigável, o SAP Access Control ficou disponível para usuários das áreas de negócio solicitarem acesso e aprovarem solicitações. E também executar processos periódicos de conformidade e controle evitando os gargalos que podem surgir quando os processos passam por TI. Resultados Após 6 meses* * No mês de novembro/2017 a RHI e a Magnesita se fundiram em uma única empresa, o que gerou um aumento no número de solicitações para atender a fusão.
39.
39PUBLIC© 2018 SAP
SE or an SAP affiliate company. All rights reserved. ǀ 8. Contatos SAP HCM – e-Social – BI&BigData – GRC contato@atsnetsolucoes.com.br +55 (21) 3173-6446 atsnetsolucoes.com e-Social – Ergonomia – GRC (EHS&M) Paula Vasconcelos contato@fisioergon.com.br +55 (31) 3565-7045 +55 (31) 98358-4870 fisioergon.com.br Glaucio Coutinho Especialista em Governança, Risco e Compliance glauciocoutinho@outlook.com +55 (31) 99993-8246 +55 (21) 98452-8246 skype: glauciocoutinho Linkedin: linkedin.com/in/glauciocoutinho ?
Baixar agora