In de komende jaren zullen steeds meer organisaties overstappen van SAP ECC naar SAP S/4HANA en gebruik gaan maken van het SAP BTP-platform. Bij het doorvoeren van deze transitie zien organisaties vaak belangrijke beveiligings- en controleoverwegingen over het hoofd. Systeemintegrators leggen vaak te veel nadruk op de technische aspecten van een SAP S/4HANA -implementatie en verwaarlozen de impact op beveiliging, controles en de ondersteuning van GRC- en IAM-tooling.​

Dit gebrek aan aandacht voor beveiliging en controles kan met name problemen opleveren omdat een gebrek aan controles kan leiden tot data-inbreuken, beveiligingsschendingen, frauduleuze transacties en bijvoorbeeld data-integriteitsproblemen die kunnen leiden tot reputatieschade en financiële verliezen.​

De 'Trusted SAP'-benadering van KPMG richt zich op deze kritieke beveiligings- en controlevereisten door relevante beveiligings- en controlecomponenten vanaf het begin in het project te integreren (controle door ontwerp):​

  • SAP-authenticatie is een kritisch onderdeel van de beveiliging van toegang tot SAP-toepassingen en -gegevens. Het omvat verschillende methoden, waaronder op wachtwoorden gebaseerde authenticatie, multi-factor authenticatie (MFA) en het gebruik van sterke authenticatieprotocollen. Een goed geïmplementeerde SAP-authenticatie helpt bij het beschermen van gevoelige informatie, en biedt geautoriseerde gebruikers tegelijkertijd efficiënt en veilig toegang tot hulpbronnen.​

  • SAP-autorisaties bepalen welke toegestane acties gebruikers kunnen uitvoeren binnen de SAP-omgeving, beschermen gegevens en zorgen voor transactionele beveiliging. Autorisaties zijn ook cruciaal voor het implementeren van de vereiste taken- en functiescheiding binnen het SAP S/4HANA-systeem. Een belangrijk startpunt voor autorisaties in een implementatieproject is de definitie van een (cross-system) matrix voor functiescheiding die in het systeem moet worden opgezet. Vaak zien we dat dit startpunt niet in aanmerking wordt genomen, wat ertoe leidt dat veel functies en gebruikersopdrachten na livegang conflicteren op het gebied van functiescheiding. Het SAP-autorisatieconcept moet worden ontworpen en ontwikkeld als geïntegreerd onderdeel van het implementatieproject. De standaardrollen in een applicatie passen namelijk meestal niet bij uw organisatie!​

  • De business risk & interne control-werkstroom richt zich op het identificeren van de belangrijkste risico's die zich kunnen voordoen binnen het bedrijfsproces dat door SAP-toepassingen wordt ondersteund. De interne controles moeten worden ontworpen, geïmplementeerd en getest om deze bedrijfsrisico's te verminderen. Voorbeelden van te ontwerpen controles zijn de IT-algemene controles (ITGC's), de bedrijfsprocescontroles en gegevens integriteitcontroles. Bij het ontwikkelen van een bedrijfsrisico- en controlekader moet altijd worden geprobeerd de mogelijkheid om de test van een controle te automatiseren, te identificeren. Dit zal uiteindelijk de handmatige inspanning van het testen van de operationele effectiviteit van een controle verkleinen. Door vanaf het begin van het SAP S/4HANA-project een bedrijfsrisico- en controlekader op te nemen, wordt ervoor gezorgd dat controles daadwerkelijk worden ontworpen en geïmplementeerd binnen het SAP S/4HANA-systeem en worden verrassingen en eventuele herwerking of problemen na livegang beperkt. Het zorgt er verder voor dat op maat ontwikkelde BTP-apps ook de verwachte beveiligings- en controlemechanismen bevatten.​

  • Met een steeds meer geïntegreerd IT-landschap is de behoefte aan robuuste platformbeveiliging nog nooit zo evident geweest. Het system hardening-proces is essentieel voor het versterken van de beveiliging van SAP-systemen. Om deze uitdaging aan te gaan met een alomvattende aanpak, wordt een strategische benadering op meerdere niveaus gevolgd, gericht op het beschermen van SAP-toepassingen tegen ongeautoriseerde toegang en mogelijke data- en privacyovertredingen. Deze”defense-in-depth””-strategy is ontworpen om SAP-producten en SAP-platforms naadloos te integreren met organisatiebrede cyber-, privacy- en beveiligingsmonitoringoplossingen.​

  • Met de ondersteuning van SAP GRC- en Cyber-oplossingen is het mogelijk om de verschillende soorten (interne en externe) risico's en controles te beheren en te organiseren. De verschillende oplossingen zijn geïntegreerd over SAP-functies en -processen, waardoor organisaties de volledigheid en nauwkeurigheid van gegevens kunnen waarborgen en kunnen vertrouwen op de integriteit van hun processen die worden ondersteund door SAP S/4HANA. Vaak zijn dit soort producten (zoals SAP GRC en ETD) relevant voor een organisatie, maar ze worden niet automatisch opgenomen in een SAP S/4HANA-implementatie- of migratieproject. Als deze oplossingen al in gebruik zijn, is het belangrijk om de impact van de SAP S/4HANA-migratie op deze oplossingen te identificeren en ervoor te zorgen dat deze naast het SAP S/4HANA-project worden geconfigureerd. Een voorbeeld hiervan is de ondersteuning van een IAM-oplossing om gebruikers en zakelijke roltoewijzingen te beheren. Ook deze IAM-oplossing zal moeten worden ingericht tijdens het SAP S/4HANA-implementatietraject. Andere voorbeelden zijn onder andere SAP Process Control, dat kan worden gebruikt om de testen van interne controles te ondersteunen, en SAP Access Controls, die kunnen worden gebruikt om mogelijke conflicten op het gebied van functiescheiding te monitoren tijdens de rolopbouw en ook direct na de livegang.​

Door gebruik te maken van onze 'Trusted SAP'-benadering kunnen organisaties de noodzakelijke beveiligings- en controlemaatregelen vanaf het begin inbouwen of verder verbeteren en daarmee hun SAP S/4HANA- en BTP-landschap te beveiligen. Simpelweg omdat alle bedrijven willen dat hun nieuwe applicatie een Trusted applicatie is!​