Gecontroleerde invoering van SAP-templates bij SHV-dochter borgen met security policy
Groeispurt ERIKS zorgt voor druk op rollouts
De maatschappelijke relevantie van IT-beveiliging is hoog. Het zijn vooral specialisten die discussiëren over maatregelen tegen de bedreigingen van cybercriminelen. En toch vormt de techniek maar een deel van de puzzel.
Interview Marco Kortekaas • Tekst Fred Franssen
Bedrijven worstelen duidelijk met de methode om aan het thema security op alle niveaus binnen een organisatie voldoende aandacht te schenken. De multi-product specialist voor in de industrie ERIKS transformeerde van een conglomeraat van bedrijven in West-Europa naar een wereldspeler. Een op SAP gebaseerd informatiesysteem groeide van 500 naar 1600 gebruikers. Een ‘framework van controls’ voor information security biedt houvast bij de beveiliging en het beheer van applicaties die de onderneming in een steeds hoger tempo uitrolt.
Terwijl er soms twijfels zijn over de aandacht bij ondernemingsbestuurders voor cybersecurity, vormt dit actuele thema binnen de SAP-gebruikersgemeenschap een topprioriteit. De belangstelling voor informatiebijeenkomsten is zo groot, dat Hans de Kiewit, secretaris van de Focusgroep Security & Access Management (SAM), tientallen aanmelders voor de sessie van dinsdag 13 juni moest teleurstellen omdat de gereserveerde zaal maar plaats bood aan 150 mensen. De evaluatieformulieren getuigen van groot enthousiasme bij de ‘gelukkige’ aanwezigen. Alle reden om de secretaris te vragen naar de beveiliging van het IT-landschap binnen zijn eigen werkkring.
De industrieel dienstverlener in technische componenten en totaaloplossingen ERIKS is ruim 75 jaar geleden opgericht in Alkmaar. Sedert acht jaar maakt het bedrijf deel uit van SHV Holding. Na de overname is ERIKS haar vleugels verder gaan uitslaan. Het is nu een wereldspeler met ruim 8.000 werknemers, actief vanuit vestigingen in 21 landen. Hoewel de activiteiten in bijvoorbeeld Amerika al van dezelfde omvang zijn als in Europa, liggen de initiatieven voor de inrichting van de informatiehuishouding van ERIKS hoofdzakelijk in Nederland en België bij een onderdeel aangeduid als BAM, Business Application Management.
Hans de Kiewit is binnen deze virtuele organisatie applicatieconsultant voor SAP FICO en autorisaties. In die functie houdt hij zich bezig met het beheer, changes (RFC’s) en uitrol van SAP-templates. Die uitrol naar de bedrijven op het Europese vasteland is nog in volle gang. Voorafgegaan door een harmonisatietraject, verspreidt zich het uitrolproces als een olievlek gestaag over het continent met geplande activiteiten in Zwitserland, Nederland en Duitsland. Het aantal SAP gebruikers zal de komende jaren nog flink doorgroeien. De uitdaging is om met dezelfde hoeveelheid mensen meer te doen, dus naast groei steeds efficiënter te gaan werken.
Uitdaging zit in controle op niet-SAP systemen
Hans de Kiewit vervult naast de taken vanuit zijn functie applicatieconsultant ook controletaken waaronder het ondersteunen van (interne) audits voor applicatie security, de zorg voor het ’compliant’ blijven van de gebruikersrollen en het monitoren van de parameters op de autorisatie gerichte systemen. Leidraad voor security zijn de richtlijnen vanuit SHV. Aan de richtlijnen hangt een audit programma, iedere 2 jaar uitgevoerd door een extern accountantskantoor. Daarnaast vindt er intern jaarlijks een audit plaats.
De Kiewit is 12 jaar geleden bij ERIKS komen werken en heeft dus de enorme groei van een Benelux speler naar een mondiaal concern meegemaakt. Zo’n groeispurt brengt uiteraard enorme veranderingen met zich mee. In hart en nieren is ERIKS een dienstverlener met standaard producten en maatwerkoplossingen, waar de business de toon zet en dus veelvuldig de behoefte aan nieuwe applicaties ventileert. Om die in te voeren, moeten ze voldoen aan een lijst van wensen en eisen voor wat betreft het beveiligingsaspect. Aan die ’requirements policy’ gaf de directie zijn zegen.
De uitdaging voor De Kiewit zit in het meewegen in de veiligheidsbeoordeling van de niet-SAP-onderdelen in het applicatielandschap. De CRM-applicatie binnen ERIKS komt van Microsoft en het is niet uit te sluiten dat er in de nabije toekomst, bijvoorbeeld via cloudapplicaties meer niet-SAP- programmatuur binnenstroomt. ”Ik heb een goed gevoel bij de aandacht die SAP besteedt aan het security aspect. Al in 2010 zijn ze gestart met het scannen van hun eigen sourcecode met het doel eventuele zwakheden op te sporen. Met die aanpak tonen ze de Duitse degelijkheid. Binnen onze organisatie zullen we verder moeten kijken dan onze neus lang is en ook in de omgevingen waarmee we vanuit SAP connecteren, nagaan of de programmacode veilig is en de verbindingen op orde zijn, conform onze policy”.
Terwijl er soms twijfels zijn over de aandacht bij ondernemingsbestuurders voor cybersecurity, vormt dit actuele thema binnen de SAP-gebruikersgemeenschap een topprioriteit. De belangstelling voor informatiebijeenkomsten is zo groot, dat Hans de Kiewit, secretaris van de Focusgroep Security & Access Management (SAM), tientallen aanmelders voor de sessie van dinsdag 13 juni moest teleurstellen omdat de gereserveerde zaal maar plaats bood aan 150 mensen. De evaluatieformulieren getuigen van groot enthousiasme bij de ‘gelukkige’ aanwezigen. Alle reden om de secretaris te vragen naar de beveiliging van het IT-landschap binnen zijn eigen werkkring.
De industrieel dienstverlener in technische componenten en totaaloplossingen ERIKS is ruim 75 jaar geleden opgericht in Alkmaar. Sedert acht jaar maakt het bedrijf deel uit van SHV Holding. Na de overname is ERIKS haar vleugels verder gaan uitslaan. Het is nu een wereldspeler met ruim 8.000 werknemers, actief vanuit vestigingen in 21 landen. Hoewel de activiteiten in bijvoorbeeld Amerika al van dezelfde omvang zijn als in Europa, liggen de initiatieven voor de inrichting van de informatiehuishouding van ERIKS hoofdzakelijk in Nederland en België bij een onderdeel aangeduid als BAM, Business Application Management.
Hans de Kiewit is binnen deze virtuele organisatie applicatieconsultant voor SAP FICO en autorisaties. In die functie houdt hij zich bezig met het beheer, changes (RFC’s) en uitrol van SAP-templates. Die uitrol naar de bedrijven op het Europese vasteland is nog in volle gang. Voorafgegaan door een harmonisatietraject, verspreidt zich het uitrolproces als een olievlek gestaag over het continent met geplande activiteiten in Zwitserland, Nederland en Duitsland. Het aantal SAP gebruikers zal de komende jaren nog flink doorgroeien. De uitdaging is om met dezelfde hoeveelheid mensen meer te doen, dus naast groei steeds efficiënter te gaan werken.
Uitdaging zit in controle op niet-SAP systemen
Hans de Kiewit vervult naast de taken vanuit zijn functie applicatieconsultant ook controletaken waaronder het ondersteunen van (interne) audits voor applicatie security, de zorg voor het ’compliant’ blijven van de gebruikersrollen en het monitoren van de parameters op de autorisatie gerichte systemen. Leidraad voor security zijn de richtlijnen vanuit SHV. Aan de richtlijnen hangt een audit programma, iedere 2 jaar uitgevoerd door een extern accountantskantoor. Daarnaast vindt er intern jaarlijks een audit plaats.
De Kiewit is 12 jaar geleden bij ERIKS komen werken en heeft dus de enorme groei van een Benelux speler naar een mondiaal concern meegemaakt. Zo’n groeispurt brengt uiteraard enorme veranderingen met zich mee. In hart en nieren is ERIKS een dienstverlener met standaard producten en maatwerkoplossingen, waar de business de toon zet en dus veelvuldig de behoefte aan nieuwe applicaties ventileert. Om die in te voeren, moeten ze voldoen aan een lijst van wensen en eisen voor wat betreft het beveiligingsaspect. Aan die ’requirements policy’ gaf de directie zijn zegen.
De uitdaging voor De Kiewit zit in het meewegen in de veiligheidsbeoordeling van de niet-SAP-onderdelen in het applicatielandschap. De CRM-applicatie binnen ERIKS komt van Microsoft en het is niet uit te sluiten dat er in de nabije toekomst, bijvoorbeeld via cloudapplicaties meer niet-SAP- programmatuur binnenstroomt. ”Ik heb een goed gevoel bij de aandacht die SAP besteedt aan het security aspect. Al in 2010 zijn ze gestart met het scannen van hun eigen sourcecode met het doel eventuele zwakheden op te sporen. Met die aanpak tonen ze de Duitse degelijkheid. Binnen onze organisatie zullen we verder moeten kijken dan onze neus lang is en ook in de omgevingen waarmee we vanuit SAP connecteren, nagaan of de programmacode veilig is en de verbindingen op orde zijn, conform onze policy”.
Des te meer koppelvlakken des te meer zwakke schakels
Mede dankzij de druk vanuit de moedermaatschappij is er meer aandacht gekomen voor het beveiligingsaspect waaronder SOD (Segregation of Duties) controles. Aanvankelijk was het concept opgezet volgens een rol per persoon. Maar 500 verschillende organisatieprofielen laten zich lastig door 2 mensen gedurende een 40-urige werkweek beheren. Nu is er door een nieuwe functionele opzet en het gebruik van een SOD-matrix veel meer gestandaardiseerd en geharmoniseerd. Voor het maken van de rolprofielen en het definiëren van de controls in SAP gebruikt De Kiewit tools van CSI. Die verhogen de efficiency wanneer bijvoorbeeld bij een rollout 5000 rollen moeten worden aangemaakt. Binnen ERIKS is de implementatie van een global HR-systeem gecompleteerd, wat een HR core heeft gebracht.
Vanuit de security invalshoek zou De Kiewit die graag combineren met een ’global identity’ managementsysteem, gekoppeld aan GRC met ’single sign on’ ten behoeve van de efficiency voor de gebruikers. Vooralsnog ligt echter de nadruk op de uitrol van de on-premise SAP-modules. Voor een eventueel mogelijke aanvulling met cloud applicaties is De Kiewit huiverig. ”Dan krijg je een lappendeken met allerlei koppelvlakken en die kunnen een zwakke schakel vormen. Als de basis goed is, kan je alles aan. We moeten daarvoor nog een hoger stadium van volwassenheid bereiken.
De moeilijkste factor bij een roll-out is de mens die op een andere manier moet leren werken. Het veranderingsproces binnen organisaties krijgt daarom extra aandacht. Laten we eerst zorgen voor een goed inzicht in wat we allemaal in huis hebben en wat er nog moet komen. En we moeten tevens de processen voor de gebruikers inzichtelijker maken”.
Tot slot wil de secretaris van de SAM Focusgroep nog wel even kwijt dat voor GDPR, de Europese wetgeving voor privacygevoelige data, enkele maanden geleden binnen ERIKS een werkgroep aan de slag is gegaan. Ook op dit vlak is het van belang dat een bedrijf kan laten zien dat het actief is met het conform de regels op orde brengen van zijn systemen. Aanscherpen van security regelgeving van bedrijf en overheid zal meer extra tijd gaan vragen. Ook hierdoor zal slimmer en efficiënter gewerkt moeten worden. Met dezelfde hoeveelheid mensen meer doen.
Mede dankzij de druk vanuit de moedermaatschappij is er meer aandacht gekomen voor het beveiligingsaspect waaronder SOD (Segregation of Duties) controles. Aanvankelijk was het concept opgezet volgens een rol per persoon. Maar 500 verschillende organisatieprofielen laten zich lastig door 2 mensen gedurende een 40-urige werkweek beheren. Nu is er door een nieuwe functionele opzet en het gebruik van een SOD-matrix veel meer gestandaardiseerd en geharmoniseerd. Voor het maken van de rolprofielen en het definiëren van de controls in SAP gebruikt De Kiewit tools van CSI. Die verhogen de efficiency wanneer bijvoorbeeld bij een rollout 5000 rollen moeten worden aangemaakt. Binnen ERIKS is de implementatie van een global HR-systeem gecompleteerd, wat een HR core heeft gebracht.
Vanuit de security invalshoek zou De Kiewit die graag combineren met een ’global identity’ managementsysteem, gekoppeld aan GRC met ’single sign on’ ten behoeve van de efficiency voor de gebruikers. Vooralsnog ligt echter de nadruk op de uitrol van de on-premise SAP-modules. Voor een eventueel mogelijke aanvulling met cloud applicaties is De Kiewit huiverig. ”Dan krijg je een lappendeken met allerlei koppelvlakken en die kunnen een zwakke schakel vormen. Als de basis goed is, kan je alles aan. We moeten daarvoor nog een hoger stadium van volwassenheid bereiken.
De moeilijkste factor bij een roll-out is de mens die op een andere manier moet leren werken. Het veranderingsproces binnen organisaties krijgt daarom extra aandacht. Laten we eerst zorgen voor een goed inzicht in wat we allemaal in huis hebben en wat er nog moet komen. En we moeten tevens de processen voor de gebruikers inzichtelijker maken”.
Tot slot wil de secretaris van de SAM Focusgroep nog wel even kwijt dat voor GDPR, de Europese wetgeving voor privacygevoelige data, enkele maanden geleden binnen ERIKS een werkgroep aan de slag is gegaan. Ook op dit vlak is het van belang dat een bedrijf kan laten zien dat het actief is met het conform de regels op orde brengen van zijn systemen. Aanscherpen van security regelgeving van bedrijf en overheid zal meer extra tijd gaan vragen. Ook hierdoor zal slimmer en efficiënter gewerkt moeten worden. Met dezelfde hoeveelheid mensen meer doen.
