Soterion09.10.202541 görüntülenme

SAP Güvenlik Ekiplerinin Takip Etmesi Gereken Üç KPI

SAP güvenlik ekiplerinin, STAR lisanslama modeli çerçevesinde takip etmesi gereken üç kritik KPI belirlenmiştir. Bu KPI'lar, erişim kontrol stratejilerinin finansal ve operasyonel etkisini ölçmeyi amaçlamaktadır.

B

Bektas OZKAN

İçerik Editörü

SAP Güvenlik Ekiplerinin Takip Etmesi Gereken Üç KPI

SAP Güvenlik Ekiplerinin Takip Etmesi Gereken Üç KPI

1. Özet

SAP’nin STAR lisanslama modeli ile birlikte, güvenlik ekiplerinin rolü değişmiştir. Artık sadece erişim yönetimi ve Görev Ayrımı (SoD) uyumluluğunun koruyucuları değil, aynı zamanda lisans maliyetleri üzerinde doğrudan etkiye sahip bir konumdadırlar. Bu yeni sistem ortamında, erişim kontrol stratejinizin finansal ve operasyonel etkisini ölçemiyorsanız, iyileştirme yapamazsınız. Bu nedenle, proaktif bir yaklaşım benimseyen SAP ekipleri, reaktif kontrollerden KPI odaklı yönetime geçmektedir. İşte her SAP güvenlik ekibinin şu anda takip etmesi gereken üç KPI:

  1. Gerçek vs Atanan FUE’ler

    • Tanım: Atanan yetkilere (kullanıcıların yapabileceği) ve gerçek kullanıma (kullanıcıların gerçekten yaptığı) dayanan Tam Kullanım Eşdeğerleri (FUE’ler) arasındaki fark.
    • Önemi: SAP’nin STAR modeli, kullanıcıları atanan erişim bazında sınıflandırır; bu da genellikle aşırı lisanslamaya yol açar. Bu KPI’yı takip etmek, mevcut SAP rol tasarımınızın gerçek lisans ihtiyaçlarınızdan ne kadar saptığını nicelendirmenize yardımcı olur.
    • Hedef: Atanan ve gerçek kullanım arasında %20’den az bir varyans genellikle iyi bir benchmark olarak kabul edilir.

  2. Rol Temizleme Potansiyeli

    • Tanım: İşletme operasyonlarını kesintiye uğratmadan kullanıcı rollerinden kullanılmayan veya gereksiz yetkilerin kaldırılmasıyla ortadan kaldırılabilecek FUE sayısı (veya yüzdesi).
    • Önemi: Çoğu SAP ortamı zamanla erişim biriktirir. Kullanıcılara “her ihtimale karşı” erişim verilir veya önceki rollerden izinler korunur. Bu kullanılmayan erişim genellikle lisans maliyetlerini artıran yüksek düzeyde yetkiler içerir.
    • Hedef: Kullanıcı erişim incelemesi gibi düzeltme faaliyetleri daha düzenli olarak gerçekleştirilmelidir.

  3. Erişim Risk Toleransı

    • Tanım: Potansiyel SoD çatışmaları (rol tasarımına dayalı) ile gerçek SoD ihlalleri (gerçek kullanıma dayalı) arasındaki oran.
    • Önemi: SAP’de erişim aşırı atanma eğilimi vardır. Erişim risk toleransı KPI’sını tanımlayarak, organizasyonlar rol tasarımının getirdiği potansiyel erişim riskleri ile gerçek kullanıcı etkinliğine dayanan gerçek riskler arasındaki farkı ölçebilirler.
    • Hedef: Oranın 3’ten az olması hedeflenmelidir; yani potansiyel risk sayınız gerçek risk sayınızdan 3 kat fazla olmamalıdır.

Bu üç KPI, erişim ortamınızın bütünsel bir görünümünü oluşturur: Gerçek vs Atanan FUE’ler aşırı lisanslandığınız yerleri gösterir, Rol Temizleme Potansiyeli maliyetleri azaltabileceğiniz alanları gösterir, Erişim Risk Toleransı ise güvenlik ekiplerinin ve iş kullanıcılarının birlikte çalışabileceği ölçülebilir bir KPI sağlar.

Kaynak: Orijinal Makale

Paylaş

💬 Bu İçerik Hakkında Sorularınız mı Var?

Bu içerikle ilgili geri bildirim vermek veya daha detaylı bilgi almak için bizimle iletişime geçin.