SAP 全面存取治理的五大原則

根據 Zylo Inc. 報告所述，一般企業大約會用到 600 個 SaaS 應用程式。最大的威脅牽涉到 SAP 等關鍵系統的存取作業。這些系統執行關鍵流程、含敏感資料，而且存取控制層級相當複雜。這些存取風險的來源可能來自外部或內部的授權使用者。

技術和雲端應用程式大盛行，讓我們的工作方式更加簡便。不過，與此同時，推動數位轉型和帶動效率不斷提升的業務系統，也讓維護系統安全變得更為複雜。

倘若缺乏能統一控管多個應用程式的措施，問題會更加嚴重。有些系統可能沒有控制措施，有的系統則可能是採用人工流程管理。另外一種可能的情況是，多元應用程式使用了多種不同的控制解決方案。如此差距可能會導致存取情形不一致且不符法規、監控耗時且容易出錯，也容易讓威脅、詐騙、稽核缺失的現象增加。

2016 年到 2021 年，詐騙頻率增加了 75%。¹

近期發生的某大型企業案件，證明缺乏統一控管措施所致的詐騙不但會造成嚴重損失，也可能長期不為人所知。2021 年 4 月，Alden Shoe Company 前財務長承認了自己的長期犯行，挪用公司約 3,000 萬美元也是其中之一。他的所作所為包括挪用公司銀行帳戶開立支票給自己，以及將資金從公司帳戶匯款到自己的私人帳戶和匯款給他人。

SAP 與其他企業資源規劃 (ERP) 系統的挑戰性特別高，因為這些系統處理的是公司裡最敏感的資料與財務交易。從 SAP 的 2021 年 1 月公司資訊可以看出，全世界 77% 的交易營收採用 SAP 系統處理。搭配著 SAP ECC 一起使用的各種雲端應用程式，則讓治理存取更加棘手。加上 S/4HANA 與導入雲端應用程式生態系後，情況就更加複雜，SAP SuccessFactors（用於人力資本管理）等應用程式在生態系統中都不屬於 S/4HANA 業務核心。在應用程式彼此獨立的網路中，以智慧型的即時方式掌握存取及潛在風險，是防範詐騙、盜用資料以及員工行為失當的重要關鍵。

如果 SAP 業務轉型的未來，要經由不斷採用雲端應用程式實現，那麼，企業應該如何思考存取管理，才能在如此稠密的網路中妥善維護控制措施並降低風險呢？以下介紹明智的公司所採行的五大原則。

1. 以技術治理技術

如今，靠人工控管存取會構成嚴重威脅，因為即使只有一個 ERP 系統，人工作業方式都無法隨著識別 ERP 內部風險所需的速度、資訊透明度和準確度而靈活調整，遑論多個系統。具體而言，在產生存取報告並依據存取規則、角色和原則審核報告的過程中，很有可能出現新的風險，也可能會遭到忽略。想要全面防範風險，不間斷的即時自動化分析是必要之道，這是人工作業所不能及的。

此外，要完全洞悉風險，不但必須分析使用者，還要分析角色與業務流程。決定使用者在一個系統內能做什麼是一回事，能看見使用者的實際使用情形又是另一回事，而這是要掌握完整透明資訊的關鍵條件。如果欠缺相關技術，無法持續自動分析深層細微的使用情形，就不可能完全掌握整個風險識別層面。

以人工方式佈建存取或授予緊急存取權限，以便因應使用量增加或短期使用的做法，也會衍生類似的風險蔓生效應。要另外投入心力本就不易，但在佈建之前若不瞭解授予權限的潛在風險，情況會更加危險。最理想的情況是，公司要有能力模擬出可能發生的風險，從而避開新的風險。這是唯有靠自動化技術才能做到的重要即時安全措施。預測風險分析能支援公司落實下列幾個層面：

• 佈建之前先分析風險，預防出現新風險
• 預測變更對任何指定角色的影響
• 在零風險的前提下提高存取權限或授予緊急存取權限

此外，人工緊急佈建時，即使是在到期日當天，也很有可能不會撤銷存取權限，就系統而言，這又是另一項威脅。

即便如此，光靠技術是不夠的。SAP 的自動化存取控制解決方案還能協助您實現其他幾項目標（例如：統一控制措施與風險資料），以利因應環境中必須使用大量應用程式的需求。

2. 集中洞見

另外，要採行適用於多種應用程式的控制措施，才能掌握最準確且有效率的存取管理與風險洞見。若不以相同的存取控制措施控管應用程式，公司就無法立即掌握使用者所面臨的所有風險，也無法進行全面分析、報告與審核。

例如，能在 30 天內恢復原狀的內部人員事故，平均年成本約需 710 萬美元，而超過 90 天才能補救完畢的事故，則得花上 130 萬美元。如果使用者違反了權限，在某個應用程式中發動系統攻擊，組織必須要有能力瞭解其他系統是否出現過類似活動，唯有如此才能阻止惡意威脅發動者與內部人士事故。

3. 整合身分安全與 SoD 存取控制措施

全面統包式的存取控制措施是一大優勢，不過，將 SoD 監控與身分安全併入單一解決方案的成效會更好。

統一的身分安全技術搭配細微的存取控制措施，能發揮雙重的安全防護作用：這樣的措施既能保護週邊，又能守護內部。這麼做能保障唯有獲得認證以及通過附加驗證檢查的使用者能夠進入系統，同時還能讓您掌握透明資訊，全面洞悉使用者進入系統後的實際行為。若讓不同的應用程式都能持續採用這樣的措施，公司就能清楚瞭解整個企業的風險與資安措施，自然能夠因此受惠，更能享有全方位的保障。

4. 降低稽核與法遵措施的複雜程度

以自動化流程取代容易出錯的人工作業流程，還能省卻過度的稽核工作，從而提升稽核的完整度與準確度，協助公司持續謹守法遵規範。如此一來，也更有機會降低風險並減少重大缺失，以及降低稽核的成本、罰金和費用。公司若能輕而易舉地通過稽核，董事會、投資人、客戶都會更有信心。

定期審查存取權限是稽核與法遵流程中相當重要的一環。若執行正確，公司就能降低稽核與法遵的複雜程度。若執行有誤，無法適時察覺風險，則有可能發生稽核缺失，成本也有可能急速增加。審查不該只是年度例行公事。為充分發揮防範風險的效益，組織應該增加審查頻率。如果無法針對所有應用程式進行自動化的 SoD 監控、報告、審查，增加審查頻率即便可行，那也會是一大挑戰。

5. 全面思考

真正的轉型與徹底的身分安全都需要擬定公司級的策略，策略不但要注重預防內外威脅，還要終結孤立無援的風險管理。公司相關人員對這項方法的認知必須一致。

論及廣泛深入保護措施的重要性與落實方法時，倘若認知方面出現任何分歧，都要透過指導補強，而且要納入 IT 與安全團隊以外的人員。稽核、法遵、財務部門的員工與高層主管都需參與其中，並達成共識。

此外，團隊採行新應用程式時也需要全面思考。採行計畫必須超越單純部署系統的格局，也要從一開始就將身分及存取控制措施納入考量。部署 SAP S/4HANA 就是個很好的例子。KPMG 估計，比起將控制措施納入初始要求，遷移之後的補救工作成本可能要多上 30 倍。

結論

運用科技提高效率並完成業務的現象，只會越來越普遍，不只是 SAP 客戶，而是所有企業。這些科技當中，雲端應用程式所佔的比例會越來越多。Gartner 預測，2021 年的雲端支出將會增加 23%。雲端安全解決方案的使用率預計也將增加，這一點其來有自。雲端工具能發揮最大的彈性和擴充能力，就 SoD 監控與身分治理而言，尤其如此。

將多個解決方案的存取控制措施統一，搭配流暢整合的身分安全技術，就能將風險管理流程與透明資訊整合在同一個平台上，進而提供全面的企業級存取治理與保護。風險管理解決方案能增加優勢，也能加速實現價值，減少長期支出與挑戰。