Son Yazılar

Data Access Manager

Data Access Manager

SAP ECC yetkilendirme mimarisi, fonksiyonel yetkilendirme metodolojisi ile (Role Based Access Control) dizayn edilmiştir. Rol bazlı yetkilendirme mimarisi, 1990’larda tüm bilgi sistemleri yazılımlarında yoğun olarak uygulanan metodoloji olmakla beraber SAP ECC’nin bu 5 katmanlı yapısı (Kullanıcı, profil, yetki, yetki nesnesi, nesne sınıfı) SAP sistemlerine fonksiyonel bazda erişimin yönetilmesini sağlamaktadır.

Ancak kurumların yönetmek durumunda kaldığı veri boyutunun ve hassaslığının artması, gerek yerel gerekse uluslararası regülasyonlar ile veri güvenliği denetimlerinin başlaması ve veri hırsızlığı gibi siber suçların artması ile beraber daha detaylı bir yetkilendirme yapısına ihtiyaç duyulmaya başlanmıştır. Peki SAP, bu yetkilendirme ihtiyacına yanıt verebilmekte midir? Bu sorunun yanıtına hem evet hem de hayır diyebiliriz. SAP, klasik ERP çözümleri kapsamında alan bazlı yetkilendirme gibi bir uygulama ya da yazılım sunmazken user-exit, BAdI benzeri geliştirme altyapısı ya da ‘ekran varyantı’ gibi ek özelliklerle bu ihtiyacı karşılayan çözümlerin geliştirilmesine olanak tanımaktadır. Ancak şirketlerin ihtiyaç duyduğu ERP niteliklerinin artması ile birlikte, bu geliştirmelerin sayısı ve kapsamı artmakta, daha da önemlisi iş birimleri tarafından kontrolü ve takibi zorlaşmaktadır. Bunun yanı sıra alan seviyesinde yapılan geliştirmelerin SAP standart rolleri ile ilişkilendirilmesi, iç ya da dış denetim ekiplerince denetlenmesi pratikte çok mümkün olmamaktadır.

Geleneksel yetkilendirme mimarisi bu perspektifte incelendiğinde rol bazlı yetkilendirme mimarisinin (RBAC) mevcut yetkilendirme ihtiyaçları konusunda ek yazılım ya da yaklaşımlara ihtiyaç duyulduğu görülmektedir. Peki bu çözüm nasıl olmalıdır;

  • İşletme içi ya da dışı tutulan kişisel verilerin yalnızca yetkilendirilmiş kişiler tarafından görüntülenebilmesi ya da işlenebilmesi: 2018 yılı içerisinde hem Avrupa Birliği hem de Türkiye’de devreye girecek olan kişisel verilerin korunması kanunu kapsamında şirketleri birçok yükümlülük beklemektedir. Bu yükümlülüklerin yerine getirilmemesi halinde devletler tarafından hapis cezalarına varan yaptırımlar mevcuttur.
  • İşletme için entelektüel sermaye olarak kabul edilen ya da gizli bilgi olarak sınıflandırılmış alanların hiçbir koşulda görüntülenememesi için ‘Veri Öğesi’ bazında yetki kısıtlarının eklenmesi: Değişen dünya konjonktüründe işletmelerin en büyük sermayelerinden bir tanesi de bilgi olmuştur. Her ne kadar KVKK ve benzeri regülasyonlar vasıtasıyla birçok verinin denetlenmesi konusunda devletlere karşı bir yükümlülük oluşmuş olsa da işletme içi kritik değer içeren bilgilere hiçbir koşulda erişim sağlanamaması için bir uygulama geliştirilmesi gerekmektedir. Örneğin, ürün reçeteleri ya da hammadde fiyatları gibi çok gizli olan bilgilerin yalnızca ilgili kişiler tarafından görüldüğünden emin olunmalıdır.
  • Alan bazlı ya da veri öğesi bazında yapılan yetkilendirmelerinin görüntüleme, anonimleştirme ya da değiştirme özellikleri bazında ek bir katmanda daha yetkilendirilmesi: Kritik verilerin yalnızca görüntülenmesi kapsamında bir kısıt yeterli olmamaktadır. Örneğin satış fiyatının görülmesi ancak değiştirilememesi ya da teslimat adresi gibi suistimale açık alanların kişi ya da rol bazında kısıtlanması gerekmektedir.
  • Yapılan tüm yetkilendirme işlemlerinin tek bir ekran üzerinde izlenmesi ve yönetilmesi hem kompleks organizasyonlarda kritik alanların yönetilmesi için harcanan eforu azaltacak hem de iç ve dış denetimlerin etkinliğini arttıracaktır.
  • Tüm yetki kısıt ve kontrollerinin SAP GRC Access Control ve benzeri ileri seviye yetkilendirme çözümleri ile uyumlu olacak şekilde roller ile yönetilmesi gerekmektedir.

Tüm bu parametre ve nitelikleri bir araya getiren bir ürün olması hedefiyle geliştirdiğimiz Data Access Manager, hem KVKK kapsamında kabul edilen hassas verilerin yönetilmesi için içerisinde hazır bir kural seti ile gelen hem de işletmelerin gizli, kritik ya da hassas verilerinin yönetilmesine olanak tanıyan yeni nesil bir yetkilendirme ürünüdür.

Data Access Manager hem rol bazlı hem de özellik bazlı yetkilendirme ihtiyaçlarına cevap vermekte ve ileri seviye GRC çözümleri ile de entegre çalışmaktadır.

Data Access Manager;

  • SAP sistemlerinde alan bazlı yetkilendirme ihtiyacını uçtan uca sağlamaktadır.
  • KVKK kapsamında kritik verilerin gizlenmesi ya da anonimleştirilmesini sağlamaktadır.
  • Kritik verilere erişen kullanıcıları gerçek zamanlı raporlayan bir uyarı sistemi sunmaktadır.
  • KVKK uyumluluğunda şirketlere yardımcı olmaktadır.
  • SAP standart dışı ekran ve geliştirmelerinde de uygulanabilir. Hassas veriler hangi programlarda kullanılırsa kullanılsın, her zaman gizlenecek ya da anonimleştirilecektir. Ayrıca gerçek zamanlı uyarı yapısı SAP’nin standart ya da standart olmayan tüm programlarında çalışmaktadır.
  • SAP GRC Access Control ile entegre olabilmekte ve alanlara erişim SAP GRC üzerinden de raporlanabilmektedir.
Ozan Gençer - SAP GRC Kıdemli Danışmanı
No Comments

Sorry, the comment form is closed at this time.