GRC wordt steeds belangrijker
Interview Dirk-Jan Schenk • Tekst Jos Fluitsma
“Twintig jaar geleden moest ik ‘preken’ om het belang van autorisaties in SAP over te brengen”, vertelt Werner van Haelst. “En dan koos de directie vaak alsnog voor een standaardinrichting. Nu - een aantal schandalen, SOx en complianceverplichtingen verder - willen bedrijven precies van me weten of ze alles op het gebied van beveiliging goed hebben geregeld.”
Terugkijkend op die twintig jaar ziet Van Haelst drie trends in SAP-security.

1. De kern is hetzelfde gebleven, maar het is meer technisch geworden
Het concept van autorisatie is door de jaren heen overeind gebleven. Dat zat in de jaren zeventig al in SAP R/2. “Een erg mooi autorisatieconcept waarmee je de toegang tot data en systemen bijna waterdicht kunt inregelen. Op basis van functies en taken kun je met autorisaties precies regelen wat de gebruiker mag doen binnen het systeem. SAP heeft dat concept met de bekende Duitse gründlichkeit ontwikkeld. Dat betekent dat het complex is en dat veel kennis nodig is om het op de juiste manier te kunnen inrichten.”
Ook afscherming van data
Het SAP-concept schermt echter de toegang tot de data af, niet de data zelf. Bij bepaalde organisaties ging dat problemen opleveren. Zo vroegen bijvoorbeeld diverse ministeries van Defensie aan SAP om het mogelijk te maken ook data af te schermen om zo het beheer van wapens en munitie beter te beveiligen. Inmiddels heeft SAP, samen met een usergroep van ministeries van Defensie uit diverse landen, een specifieke oplossing daarvoor ontwikkeld. De ministeries konden daarmee dataclassificatie doorvoeren in autorisaties.

Trendbreuk door komst S/4HANA
De komst van S/4HANA maakte nieuwe autorisaties nodig. De verschillende autorisaties moeten bovendien goed op elkaar zijn afgestemd. HANA-security is anders van opzet dan de autorisaties in R/2, R/3 en ECC die met ABAP zijn gebouwd. Steeds meer bedrijven gebruiken ABAC, net als de ministeries van Defensie. Met Attribute Based Access Control voeg je aan toegang tot data via transactiecodes een extra autorisatie toe op basis van attributen. Door deze ontwikkelingen is autorisatie steeds technischer geworden. Er moet steeds meer gebeuren om te voorkomen dat onbevoegden via achterdeurtjes rechtstreeks in de (HANA-)database komen.

2. Er zijn meer en betere tools gekomen
Onder meer door de komst van portals kwamen er Java-applicaties bij. Daarvoor moesten - naast de ABAP-autorisaties - ook autorisaties worden geregeld. Verder breidde SAP uit met onder meer BI/BO, SRM, CRM en APO, ieder met hun eigen autorisatie- en beveiligingsconcepten. Zo werd het landschap steeds complexer. Er kwamen steeds meer tools om autorisatieconcepten te kunnen monitoren, bouwen en beheren, zoals Security Weaver en SAP GRC. Met SAP GRC kun je functiescheidingsconflicten opsporen en zogenaamde Firefight-analyses uitvoeren, rechten toekennen en rollen bouwen. SAP GRC bevat inmiddels ook de module Enterprise Threat Detection (ETD), die aanvallen op onderliggende systemen scant. Bijvoorbeeld als iemand op afstand met een wachtwoord-generator probeert in te breken. “De tools zijn geavanceerder geworden. Tegenwoordig bevinden veel data zich in de Cloud. Ook dan is access control nodig voor autorisatie. En door smartphone en iPad zijn er meer ‘voordeuren’ bijgekomen die moeten worden afgeschermd.”


3. Governance, Risk en Compliance (GRC) krijgt een steeds grotere rol
Dat komt vooral door een aantal (fraude)schandalen en externe wetgeving (SOx). Maar ook de e-mailaffaire tijdens de Amerikaanse verkiezingen en cyberaanvallen die bedrijven platleggen, heeft bedrijven wakker geschud. ‘Hoe is het bij ons geregeld?’, wil het management weten. “Compliance wordt steeds meer wettelijk en commercieel afgedwongen. Maar er zijn ook bedrijven die proactief regelen dat ze in control zijn en dat ook laten zien. ‘We zorgen goed voor onze data, brengen risico’s in kaart, zijn compliant met regelgeving en laten dat regelmatig testen door externen.’ Zo kan GRC een concurrentievoordeel worden.”
Functiescheiding is belangrijk voor juiste autorisatie
Een autorisatieconcept moet zo zijn opgezet dat er geen ongewenste transacties kunnen worden uitgevoerd. Daarom is Segregation of duties (SoD) belangrijk. In 7 van de 10 gevallen is dat niet goed opgezet. Dan krijgt bijvoorbeeld de crediteurenadministrateur via de ene taak autorisatie voor een betaalrun en via een andere taak toegang tot stamdata van crediteuren. Los van elkaar vormen die autorisaties geen probleem, maar in samenhang levert het een conflict op. Ook een te ruime autorisatie kan gevaarlijk zijn. Als een medewerker bijvoorbeeld onbevoegd tabellen kan raadplegen, kan hij op basis daarvan eigen rapportages maken of vertrouwelijke gegevens inzien (denk bijvoorbeeld aan personeelsgegevens) “Functiescheiding is bij grote organisaties makkelijker te realiseren dan bij kleine organisaties, waar verschillende functies nog wel eens in één persoon zijn verenigd. Maar als je het concept goed opzet, is er weinig kans op problemen.”


Beveiliging is bij de meeste bedrijven voor verbetering vatbaar
“Ik heb in de afgelopen twintig jaar niet meegemaakt, dat een klant het 100% goed voor elkaar had op het moment dat wij daar binnenkwamen. Vaak is nog sprake van te ruime autorisaties of gebruik van standaardwachtwoorden die iedereen kent. Maar als je niet meegaat in de nieuwste ontwikkelingen, kun je behoorlijke risico’s lopen. Fraude wordt vaak mogelijk door een gebrekkig autorisatieproces. Het is natuurlijk ook de vraag of 100% beveiliging nodig is. Dat heeft zijn prijs, en die moet je afzetten tegen de schade die iemand die kwaad wil, kan veroorzaken. Maar je doet er als bedrijf goed aan (cyber)security serieus te nemen. Op alle terreinen: opleiding van medewerkers, waterdichte autorisatieprocessen, de juiste technologie. Bedenk dat imagoschade groter kan zijn dan de schade in geld. Stel je voor dat iemand het recept van Coca Cola uit de database kan stelen. Dan is de imagoschade voor Coca Cola niet te overzien.”
Werner van Haelst
Werner van Haelst werkt al meer dan 20 jaar in de wereld van governance, risk en compliance (GRC). Hij was managing director van Integrc, dat security- en GRC-diensten leverde aan SAP-gebruikers. Integrc is in 2015 overgenomen door accountants- en advieskantoor EY. Daar is Van Haelst nu International Advisory Partner op het gebied van gespecialiseerde GRC-diensten aan alle klanten die SAP gebruiken.