Artikel top billede

Danske SAP-projekter uden sikkerhed koster dyrt

Sikkerhed tænkes ofte så sent ind i danske SAP-projekter, at sikkehedsdelen koster næsten dobbelt så meget som nødvendigt.

Sikkerhed i form af adgangskontrol og tildeling af brugerrettigheder tænkes i mange tilfælde for sent ind i danske SAP-projekter.

Det åbner mulighed for medarbejdersvindel, boykot af systemet fra brugerne og betyder meromkostninger på mellem 50 og 75 procent.

Sådan lyder en vurdering fra en række af landets SAP-eksperter, som har samlet sig i netværket SUPAN.

I SUPAN-netværket deler de viden og arbejder på at øge fokus på sikkerheden i SAP-projekter.

"I et SAP-projekt skal sikkerhed tænkes ind samtidigt med at forretningsprocesserne defineres. Men det sker oftest som en hovsa-løsning på et senere tidspunkt i projektet, og derfor bliver sikkerhedsdelen mellem 50 og 75 dyrere, og åbner op for meget utilfredse brugere og bagdøre til økonomisk svindel," siger Troels Lindgaard, som er medstifter og næstformand i det fem år gamle SUPAN-netværk.

Troels Lindgaard er selv SAP/IDM-arkitekt hos konsulenthuset Lemongrass, og han vurderer, at sikkerhedsomkostninger normalt beløber sig til 10 procent af et SAP-projekts pris. 

Svindel og modstand

Hvis for eksempel adgangskontrollen i et SAP-system er for dårligt defineret og den enkelte slutbruger ikke kan få adgang, bliver der hurtigt modstand mod systemet. Det betyder forsinkelse på go-live og adoption, mistillid og dårligere udnyttelse af systemet, forklarer Troels Lindgaard.

"Det har vi set masser af gange. Og i værste fald bliver man ved at bruge det gamle system," siger han.

Et andet vigtigt område er administration af brugerrettigheder. Hvis man giver den samme person lov til både at kunne oprette en ny leverandør og godkende betalinger til den selv samme leverandør, er det meget nemt at føre penge uretmæssigt ud af virksomheden, fortæller han.

"Der tales ikke så højt om svindel i private virksomheder, men ifølge en undersøgelse fra Association of Certified Fraud Examiners mister virksomheder i gennemsnit fem procent af deres omsætning på grund af svindel og bedrag," siger Troels Lindgaard.

Der er heldigvis masser af muligheder for at administrere brugere og adgangsrettigheder og dermed stoppe bedrag og boykot fra brugerne.

"Så undgår virksomhederne kompenserende manuelle kontroller, hvilket kan være en betydelig belastning i store virksomheder med mange transaktioner dagligt. Men det kræver den rette opsætning, og det er nemmest at gøre tidligt processen."

Og SAP Sikkerhedsprisen går til..

SUPAN-netværket består SAP-folk fra de store konsulenthuse i Danmark, som KPMG, Deloitte og PwC, en række freelance-konsulenter samt af ansatte i store virksomheder som Lundbeck, Vestas, Dong, NNIT og KMD.

Der er i øjeblikket 27 medlemmer, og nye medlemmer kan kun komme ind via anbefalinger.

SUPAN uddelte i går, torsdag, en nyindstiftet sikkerhedspris til en person, der har gjort noget særligt for at tænke sikkerhed ind i et SAP-projekt. Medlemmerne har nomineret tre personer og stemt om vinderen.

Modtageren er prisen er Monica Erichsen fra Post Norden. Hun får den for sit arbejde hos Novo Nordisk, hvor hun som projektleder var med til at sørge for, at der kom fokus på netop SAP-sikkerhedsområdet.

"Novo Nordisk er ellers en organisation, hvor man på rygraden har styr på sikkerheden. Men hun formåede at få det på agendaen og fik samlet data, der understøttede, at der var behov for en revidering af det eksisterende setup," fortæller Troels Lindgaard om vinderen af SAP-sikkerhedsprisen.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere