BSI - SAP 액세스 리스크 및 SoD에 대한 표준을 확립

당면 과제: 접근 권한(액세스) 및 SoD 통제의 부재

BSI는 약 1,200명의 사용자가 있는 SAP ECC6 시스템을 운영하고 있었으며, SAP 환경 내 사용자 접근 권한, 보고 및 직무 분리(SoD) 리스크를 관리하기 위한 통제가 거의 없는 상태였습니다.
재무 시스템에 대한 내부 감사 요청을 받았을 때, 모든 보고서를 수작업으로 장시간에 걸쳐 추출해야 했으며, 그 과정에서 다수의 중간 및 높은 리스크 영역이 발견되었습니다.

BSI는 내부 액세스 통제 프로세스에서 다음과 같은 다섯 가지 문제를 식별했습니다:

• 지침적 통제 부족: 사용자 접근 권한에 대한 정기 검토가 일관되게 수행되지 않음
• 시스템 보고 한계: 기존 접근 권한 보고 도구로는 효과적인 검토에 필요한 상세 정보 제공 불가
• 외부 사용자 관리 미흡: 외부 사용자가 내부 직원과 유사한 권한을 부여받았으나 충분한 모니터링 부재
• 슈퍼 유저 관리 문제: 재무 시스템, SAP 전문가, 데이터 및 리포팅 팀에 과도한 권한 부여
• 부적절한 접근 권한: 접근 권한이 올바르게 할당되지 않았고 SoD 통제가 미흡

Soterion 솔루션: 모든 리스크 영역 완화

BSI는 다음과 같은 선택지를 검토했습니다:

• 아무 조치도 취하지 않고 기존대로 보고서를 Excel로 수작업 처리
• 기존 ABAP 프로그램을 활용해 SAP 내 맞춤 보고서 개발(추가 리스크 감수)
• 리스크를 식별하고 해결할 수 있는 전문 도구 도입

결과적으로 BSI는 SAP 접근 권한 관리를 해결할 수 있는 EPI-USE Labs의 파트너사 Soterion의 솔루션을 도입하기로 결정했습니다.
Soterion은 SAP 내 모든 리스크 목록을 제공하며, 내장된 SoD 기준을 기반으로 특정 접근 권한이 필요한 사용자를 식별할 수 있도록 지원했습니다. 이를 통해 과거 방식이 아닌 모범 사례 기반의 접근 권한 관리 프로세스를 구축할 수 있었습니다.

BSI의 GRC 해결

BSI는 Soterion 솔루션을 다음과 같이 활용하고 있습니다:

• 비즈니스 사용자들이 자신의 역할과 책임에 맞춰 직접 보고서 추출. 모든 사용자에게 SAP 접근 권한을 부여하는 대신, 필요한 정보에만 접근 가능하도록 권한 조정
• Soterion 보고서를 기반으로 트랜잭션 코드 조정

BSI 소개

BSI는 영국의 국가 표준 기관으로, 다양한 제품과 서비스에 대한 기술 표준을 제정하고 인증 및 표준 관련 서비스를 제공합니다. BSI의 목적은 사회 전반을 아우르는 독립적이고 전문적인 모범 사례를 합의를 기반으로 제공하여 다음을 강화하는 것입니다: