ייעוץ עסקי בקרה וניהול סיכונים

ניהול בקרת גישה והרשאות

אחד העקרונות החשובים ביותר בבקרה פנימית נאותה בארגון הינו יישום מערך הרשאות ועיקרון הפרדת התפקידים במערכות המידע. מערך ההרשאות במערכות המידע בארגון נדרש שיעמוד בעקרון “הצורך לדעת” (Need to Know) – הגבלת הגישה למידע לבעלי התפקידים הזקוקים לו בלבד ועמידה בעיקרון הפרדת תפקידים. עקרון זה קובע הפרדה בין הגורמים השונים האחראים לביצוען של פעולות בארגון, כגון הפרדה בין גורם מבצע, מאשר ומבקר. המטרות העיקריות ביישום של מערך הרשאות נאות ועיקרון הפרדת התפקידים בארגון הינה מניעת טעויות ומעשי מרמה וכן הימנעות מיצירת תלות בפונקציה עיקרית אחת ושליטת גורם יחיד על תהליך שלם.

כדוגמא לכשלים במערך ההרשאות ויישום עיקרון הפרדת התפקידים ניתן למנות את המקרים הבאים:

מטבע הדברים עובדים עוברים מספר תפקידים במהלך העסקתם בארגון. ארגון אשר אינו מנהל את מערך ההרשאות בצורה נכונה מעניק לעובד הרשאות נוספות על תפקידו ללא שלילת ההרשאות הקיימות בעת המעבר. בצורה זו העובד יכול לגשת ולבצע במערכת המידע גם פעולות אשר היו מנת חלקו של התפקיד הקודם. עובדים מעין זה נקראים בעגה המקצועית קולקטורים (collector).

  • עובד אשר עוזב את החברה ללא סגירת חשבון המשתמש שלו ושלילת ההרשאות.
  • מתן הרשאות לעובדים שלא על פי תהליך מסודר של אפיון הדרישה להרשאות ואי ביצוע בקרה מתאימה על מנת לוודא כי העובד קיבל את ההרשאות המתאימות.
  • מתן הרשאה לעובדי פיתוח ממערך מערכות המידע למערכות הייצור של חברה.
  • לעובד בעל הרשאה לשינוי פרטי חשבון הבנק של ספקים, יכול לבצע שינוי בפרטי חשבונות בנק לחשבונו הפרטי לפני ביצוע התשלום לספק ומיד לאחר מכן החזרת המצב לקדמותו. סקירת מספרי חשבון הספק אחת לתקופה לאיתור מעילות אינה מספקת שכן פעולה זו לא תתגלה. למניעת מקרים מסוג זה יש לצמצם למינימום את הגורמים המורשים לבצע פעולה זו במערכת המידע וכן לבצע סקירה של יומן המערכת (Log) בו מתועדים השינויים שבוצעו במספרי חשבון בנק ספקים.
  • לעובד בעל הרשאות הן ליצירת לקוח והן ליצירת הזמנה יאפשר ליצור משלוחי מלאי ללקוח פיקטיבי.
  • לעובד בעל הרשאות ליצירת ספק, הזנת חשבונית ואישורה לתשלום יאפשר ליצור ספק פיקטיבי, להזין עבורו חשבוניות פיקטיביות ולבצע תשלומים במרמה.

למרות חשיבותו של יישום מערך הרשאות נאות ועיקרון הפרדת התפקידים, ארגונים רבים אינם מקיימים זאת באופן מלא, כיוון שאינם מיישמים אותו במערכות הממוחשבות המותקנות בארגונם. כיום, כאשר כמעט כל ארגון מנהל את עסקיו באופן ממוחשב ופעולות כגון רכש, שכר, הנה"ח וכדומה נעשות במערכות ממוחשבות, להגדרת התפקידים השונים והפרדת הסמכויות בארגון אין כל משמעות מבלי שאלו מוטמעים במערכת המידע עצמה.

להפרדת התפקידים במערכת הממוחשבת חשיבות רבה כיוון שהפוטנציאל להשיג גישה לא מורשית לנתונים (בד"כ כלל נתוני הארגון) או לשנות נתונים מבלי שניתן יהיה לעקוב אחריהם גדול. עובד בעל גישה לנתונים אשר אינם דרושים לו לביצוע תפקידו עלול לבצע מגוון פעולות אשר אינן עולות בקנה אחד עם הגדרת תפקידו ועם עיקרון הפרדת התפקידים. לאור האמור מומלץ כי הפרדת התפקידים במערכות המידע תנוהל במקביל לניהול הפרדת התפקידים בארגון כולו.

מניסיוננו אנו למדים כי ניהול מערך הרשאות ויישום עיקרון הפרדת התפקידים במערכת ERP חשוב במיוחד שכן מדובר במערכת המרכזת בתוכה מידע לגבי כל חלקי הארגון וניצול לרעה או טעויות במקרה זה עלולים להיות הרסנים. פעמים רבות משקיעים ארגונים משאבים רבים בהטמעת מערכת ERP, אך אינם מקפידים ליישם ולנהל באופן הולם את נושא אבטחת המידע, מערך ההרשאות ועיקרון הפרדת התפקידים. הדבר נובע לרוב מקושי ליישם ולנהל מערך הרשאות ועיקרון הפרדת התפקידים במערכת כה מורכבת הבנויה ממספר גדול של משתמשים, פרמטרים וטרנזאקציות.

יישום מערך הרשאות ועיקרון הפרדת התפקידים במערכת מעיין זו מאפשר דיוק בהגדרת כל תפקיד על ידי הגדרת תוכניות, תפריטים ושדות ספציפיים להם תינתן לעובד גישה. בנוסף ניתן להגדיר לדוגמא מדרג הרשאות לפעולות ספציפיות בהתאם למהות הפעולה ולתפקיד העובד, כגון קביעת מדרג לגובה סכום פעולה המאושר לכל עובד. במערכת הERP של חברת SAP, לדוגמא, קיים פירוט של הפעולות האפשריות במערכת בחלוקה לתחומים (רכש, מכירות והפצה, ניהול מלאי, ניהול נכסים וכו'). לכל פעולה, כגון יצירת ספק, הזנת חשבונית, עיבוד חשבונית, אישורה וכו' ניתן קוד וקיימת אפשרות להגדיר לכל עובד את קודי הפעולות המותרות לו כגון: חסימה, צפייה ואו עדכון ובהמשך הגבלות ספציפיות לכל פעולה.

הגדרת תפקידים פרטנית ומדויקת מסוג זה מאפשרת למנוע לחלוטין "אזורים אפורים" בהם לא ברור האם הסמכות לבצע פעולות מסוימות, כלולה במסגרת תפקידו.

כלים לניהול מערך ההרשאות ועיקרון הפרדת התפקידים כמענה לצורך הקיים בניהול יעיל ואפקטיבי של מערך ההרשאות וביישום ובקרה של עיקרון הפרדת התפקידים במערכות ERP וכן מן הצורך לציית לדרישות חוק ורגולציה, כגון: Sarbanes Oxley, פותחו בעולם כלים ממוכנים, כמו חבילת כלי בקרות הגישה וההרשאה (GRC Access Control) למערכות ארגוניות של חברת VIRSA אשר נרכשה לאחרונה על ידי חברת SAP.

בשימוש בכלים ממוכנים משיג הארגון שני יתרונות מהותיים, האחד – צמצום העלויות בתפעול השוטף של מערך ההרשאות בארגון, והשני – ידיעה בזמן אמת על כשלים במערך ההרשאות ואבטחת המידע ובכך לא לאפשר לפרצות במערך ההרשאות מלהתקיים במערכת.

יישום משולב של כל רכיביGRC Access Control  נותן פתרון לבקרה מקצה לקצה העונה לצרכים הבאים:

חשיפת סיכונים: יכולת לחשוף סיכוני בקרות גישה מעורפלות או סיכוני הרשאה לא ברורים במערכת ה- SAP ובמערכות שאינן SAP, במתן הגנה מכל מקור פוטנציאלי לסיכון, לרבות הפרדת הרשאות (Segregation of Dutiess).

הפחתה ותיקון סיכונים: רכיבי בקרת הגישה וההרשאות מאפשרים הפחתת ותיקון מהיר ויעיל של סיכוני גישה והרשאה על ידי Workflow אוטומטיים ושיתוף פעולה של המשתמשים העסקיים והמשתמשים הטכניים.

דיווח: דוחות מפורטים ומתקדמים כלולים במוצרים, לרבות דוחות ניהוליים העונים על הצרכים העסקיים ובקרה על ביצוע ויישום הציות בארגון.

מניעת סיכונים: במידה וסיכוני הגישה וההרשאות תוקנו, רק רכיבי ומוצרי SAP לבקרת גישה יכולים למנוע סיכונים בסביבת היצור. בהסמכת משתמשים עסקיים לבדיקת סיכונים בזמן אמת ואוטומיזצית הניהול, יכולים המוצרים הייעודיים למנוע סיכונים בתהליך פרו אקטיבי מתמשך.

רכיבי GRC Access Control הנותנים מענה לסוגיות הבקרה שפורטו לעיל הינם: 

GRC Compliance Calibrator

כלי ה- GRC Compliance Calibrator תומך בציות בזמן אמת וסביב השעון, עוצר ומונע הפרות אבטחה ובקרות לפני שהן קורות. הכלי כולל עשרות אלפי חוקים וסיכונים (קונפליקטים וטרנזאקציות מתנגשות) והקשורים בהרשאות ובקרות גישה למערכות ארגוניות. לאחר יישום של כשבועיים/שלושה (הערכה), ארגונים יכולים לנתח נתוני אמת, למצוא סוגיות ועזרה בהבטחת אפקטיביות בקרות הגישה וההרשאה בין משתמשי הארגון, לזהות קונפליקטים בהרשאות והגברת יעילות תוך שימוש בתוכן העשיר של חוקי הפרדת הרשאות (SoD) ל- SAP. 

GRC Role Expert

כלי GRC Role Expert מתקנן ומרכז את יצירת התפקידים, מפשט את התהליך ומונע טעויות ידניות בעת יצירת התפקיד ושיוכו למשתמש. הכלי מקל על המשתמשים הטכניים והמשתמשים העסקיים בתיעוד הגדרות ומאפייני התפקיד, ביצוע הערכת סיכונים וסימולציה, מעקב אחר שינויים ומפחית את עלויות ה- IT.

GRC Firefighter

מבקרים מתנגדים להרשאות הכניסה הרחבות למערכת הניתנות למשתמשי המפתח ולאנשי התמיכה ב- IT לתמיכה במשתמשים. אך, איך ארגון יכול לספק לאנשי התמיכה גישה מהירה בעת הצורך לפתרון תקלות שונות במערכת, מבלי לבצע הפרות רגולטוריות מהותיות? ה- GRC Firefighter מאפשר לאנשי התמיכה ומשתמשי המפתח לבצע פעילויות דחופות "מחוץ" לתפקיד שמיוחס להם, תחת נתיבי ביקורת ובקרות מובנות. אחר כל הפעילויות ניתן לעקוב בצורה פשוטה ויעילה. ה- GRC Firefighter מאפשר ייחוס של תפקיד זמני לאיש התמיכה, תפקיד הכולל הרשאות רחבות ומסוכנות, המאפשרות גישה מאובטחת וניתנת למעקב אחר הפעולות שמבצע במערכת.

GRC Access Enforcer

היות וחברות מאפשרות ושוללות גישת משתמשים למערכות הארגוניות, הן לעיתים, מעלימות עיין משינויים שעשויים להשפיע על דרישות להפרדת הרשאות (SoD). כלי ה- GRC Access Enforcer מאפשר בקרות גישה והסמכת משתמשים. ארגונים יכולים למכן מתן הרשאות, בקרת סוגיות SoD, לפשט מתן אישורים ולהפחית את עומס העבודה הקשור בנושא ב- IT. 

לסיכום

כלים ממוכנים מאפשרים לנהל ולמנוע סיכוני גישה והרשאה, ומאפשרים לארגונים לציית לדרישות הרגולציה ולשמור על סטנדרטים גבוהים של פיקוח תאגידי וניהול סיכונים, במינימום עלויות ומורכבות.

*מנהלת פתרונות SAP ERP Financials & GRC, נס טכנולוגיות.

** אלקלעי מונרוב – בקרה וניהול סיכונים AlMo

אין במאמר זה  כדי להוות יעוץ משפטי,  חשבונאי  ו/או אחר.

יצירת קשר