Målet med projektet var at etablere en vedligeholdelsesvenlig og dokumenterbar autorisations- og brugeradministration samt at implementere sikkerhed inden for compliance-området.
SAP-autorisationskonceptet skulle ombygges på baggrund af de funktionelle specifikationer for Role Reference Manager samtidig med, at retningslinjerne for overholdelse af lovgivningen blev overholdt. I den forbindelse skulle der oprettes enkeltroller (på funktions-/procesniveau) og sammensatte roller (på jobniveau).
I SAP-standarden er det ikke muligt at kontrollere SoD-overtrædelser automatisk. Manuelt er det en svært håndterbar opgave, og det kan desuden ikke kontrolleres pålideligt. Derfor var hanseWasser på udkig efter en pålidelig partner, der kunne oprette disse opgaver som automations og opdage overtrædelser af compliance allerede i ansøgningsprocessen, før en autorisation blev tildelt.
Desuden burde alle ændringer og justeringer blive dokumenteret på en revisionssikker måde fra begyndelsen - og også i fremtiden.
Redigeringen af autorisationer blev i vid udstrækning foretaget "on demand" (opret venligst bruger X som bruger Y). Selv om anmodningerne blev styret via applikationsadministratorerne for de enkelte moduler, fandt der ikke nogen synkronisering af de allerede eksisterende autorisationer sted. Det betød, at de eksisterende autorisationer udgjorde en høj risiko for misbrug og skulle langsommeligt og manuelt udtrækkes fra Excel-lister, så cheferne kunne kontrollere dem. Dataene var heller ikke meningsfulde nok til at kontrollere autorisationerne på en revisionssikker måde.
Sammenfatningen af de enkelte roller til sammensatte roller i SAP-standarden blev udviklet, men ikke implementeret efterfølgende, fordi det viste sig, at de tildelte sammensatte roller ikke er opført i brugerstamregistret, men at SAP i stedet opdeler de sammensatte roller i enkeltroller igen, som derefter vises. Indførelsen af sammensatte roller i SAP-standarden resulterede således ikke i et bedre overblik.
Beslutningen blev hurtigt truffet til fordel for SIVIS. Både funktionaliteten og det avancerede design af softwaren var afgørende for hanseWassers valg af værktøjet. Softwaredesignet var afgørende for hanseWasser, da de valgte værktøjet.
Vigtige kriterier for beslutningen var primært spørgsmålet om compliance (revision af SAP-autorisationer på rolle- og brugerniveau) og dokumentationsmuligheder.
Ved indførelsen af SIVIS Enterprise Security-softwaren var det ikke nødvendigt at inddrage de specialiserede afdelinger. Til dette formål var de foruddefinerede rolle- og jobskabeloner med en sammenligning af sporingsdata fra systemet helt tilstrækkelige til at konstruere rollerne. Afdelingerne blev kun inddraget, når det drejede sig om at fjerne eksisterende sårbarhed.
Der blev oprettet enkeltroller og sammensatte roller. Hver bruger blev derefter tildelt en sammensat rolle for sit job. I tilfælde af aktiviteter på tværs af afdelinger blev alle nødvendige sammensatte roller tildelt. Desuden var det vigtigt at sikre en problemfri go-live, så brugerne kunne fortsætte med at arbejde uforstyrret, når de nye roller blev taget i brug, og så autoriseringskonceptet efterfølgende nemt kunne udvides til at omfatte manglende autorisationer.
Straks efter implementeringen af det nye autorisationskoncept viste det sig, at den videre vedligeholdelse af autorisationer var meget enklere og mere gennemskueligt end først forventet. Med støtte fra SIVIS-projektteamet, der består af rådgivning og udvikling, kunne alle krav behandles og implementeres rettidigt. Samarbejdet fungerede meget godt, og alle nødvendige krav, der opstod i løbet af projektet, kunne gennemføres med en god løsning.
På trods af de vanskelige pandemiske forhold gjorde en kombination af fjernsessioner og besøg på stedet det muligt at introducere og gøre sig fortrolig med SIVIS-softwaren.
Sikre SAP-autorisationer kan ikke kontrolleres uden brug af et automatiseret værktøj. Konverteringen af SAP-roller, der har udviklet sig igennem tiden, med sikkerhedshuller til et rent autorisationskoncept er helt klart forbundet med en stor indsats fra autorisationsadministrationen. Behandlingen af audit-resultater bør heller ikke undervurderes.
Ved at anvende SIVIS-løsningen kunne dette gøres uden problemer og uden en større indsats. Desuden reducerede det kompleksiteten af den årlige audit, der skal udføres. Således, er der opnået en høj grad af sikkerhed for, at SoD-overtrædelser enten er blevet elimineret eller er kendt, afbødet og dokumenteret.