Privileged access oplossingen voor SAP: handige functionaliteit, maar gebruik deze verstandig
Er zijn verschillende oplossingen beschikbaar op de markt voor het beheren van geprivilegieerde toegang, met namen zoals 'Firefighter', 'Emergency Access Management, etcetera'.
In MARC is dat de Privileged Access Management (PAM) module.
Deze oplossingen zijn bedoeld voor IT-gebruikers die op productiesystemen werken voor het oplossen van problemen en kritieke updates. Voor die activiteiten zijn tijdelijke, verhoogde toegangsrechten nodig. Dergelijke verhoogde toegang is meestal ook vereist voor go-live ondersteuning in de eerste dagen nadat een nieuwe release of applicatie in productie is gelanceerd. Soms wordt het zelfs gebruikt voor zakelijke (eind)gebruikers om speciale updates uit te voeren voor stamgegevens of andere incidentele updates. Of erger nog: voor tijdelijke toegang (delegatie) tijdens een vakantieperiode.
Het gebruik van deze oplossingen door eindgebruikers is in veel organisaties vaak onderwerp van discussie. Niet alle auditors vinden het leuk dat een privilege access tool voor andere doeleinden wordt gebruikt dan voor systeembeheertaken.
Het gebruik van een privilege access tool voor eindgebruikersactiviteiten is echter geen goed idee. Deze activiteiten moeten zoveel mogelijk worden afgehandeld via reguliere autorisatierollen. Op die manier kan veel gedoe voor het regelen van goedkeuringen en beoordelingen per individuele aanvraag worden vermeden.
Het veelgehoorde argument voor het uitvoeren van bepaalde eindgebruikersactiviteiten via privilege access is dat 'alle activiteiten veel beter gelogd worden' in privileged access tooling.
Dat argument gaat niet echt op. Immers: de standaard table logging optie in SAP logt ook de wijzigingen in data. Bovendien is meer geavanceerde SAP-besturingssoftware, zoals de Internal Control Monitoring-module in MARC, in staat om uitstekende (uitzonderings)rapporten te leveren.
Algemeen genomen zijn we van mening dat het beter is om het gebruik van privileged access oplossingen voor eindgebruikers te vermijden.
Een goede richtlijn zou kunnen zijn: als af en toe extra eindgebruikersautorisaties kunnen worden vastgelegd in een/meer (aparte) autorisatierol(len), dan kunnen deze via het normale rolprovisioning proces aan gebruikers worden toegewezen.
Als u meer wilt weten over hoe de MARC4GRC-softwaresuite het beheer en de bewaking van geprivilegieerde toegangsrechten in uw SAP-systeem kan verbeteren, aarzel dan niet om contact met mij op te nemen.
Jos de Waal