Wat is indirect access en hoe weet ik of ik dit heb?

Het is de meesten niet ontgaan dat SAP het afgelopen jaar gigantische boetes oplegde aan twee van ’s werelds grootste drankenproducten voor onbetaalde licentiekosten door ‘indirect access’. In één geval, een proces tegen Anheuser-Busch Inbev (AB Inbev), eiste SAP zelfs een schadevergoeding van meer dan 600 miljoen dollar. Hiermee was de boodschap duidelijk: SAP is begonnen met het controleren op indirect access. Elke SAP-klant kan er dus maar beter voor zorgen dat het identificeren en aanpakken van indirect access binnen zijn organisatie een prioriteit is. Maar wat is indirect access precies? En hoe weet je of je dit hebt?

Toegang via een derde partij

Net als bij de meeste software betalen SAP-klanten per gebruikerslicentie. De mate van toegang en licentiekosten kunnen variëren. De meeste gebruikers van SAP-licenties hebben ‘direct access’, wat betekent dat elke gebruiker een eigen licentie heeft. Afhankelijk van het licentietype hebben gebruikers meer of minder rechten. We spreken van indirect access als het SAP-systeem wordt geopend door een applicatie van een derde partij, zoals Salesforce. Als zo’n applicatie van derden SAP-gegevens creëert, wijzigt of weergeeft en de gebruiker die met de applicatie werkt heeft geen geschikte SAP-licentie, dan is er een compliance-risico.

Hoe stel je vast waar indirect access plaatsvindt?

Om te voorkomen dat de organisatie een compliance-risico loopt, is het van belang om te zoeken naar indirect access binnen het bedrijf. Dit kan door te kijken naar gedrag van gebruikers dat niet typisch is voor een menselijke gebruiker – en dus aantoont dat het waarschijnlijk systemen zijn die toegang hebben tot SAP. Traditioneel gezien is het identificeren van afwijkende gedragspatronen een arbeidsintensieve taak, vooral bij het beheer van meerdere SAP-systemen. Gelukkig kan een groot deel van dit proces nu worden geautomatiseerd door te letten op de volgende indicatoren:

  •  Cross-component gebruik – Toegang tot meerdere systemen in zeer korte tijd is ongebruikelijk gedrag voor een ‘echte’ gebruiker.
  • Lange werktijd – Zelfs de meest plichtsgetrouwe gebruiker werkt niet 24 uur lang continu door zonder pauze.
  • Massief werkvolume - Elke gebruiker waarvan de werklast (het aantal uitgevoerde transacties of CPU-gebruik per dag) aanzienlijk boven het gemiddelde ligt, toont aan dat het waarschijnlijk activiteit van een systeem is.

Als deze indicatoren zijn geanalyseerd, moet het SAP-team de lijst van afwijkende gebruikers screenen om de lage en hoge risicogebieden te identificeren. Elke applicatie die verbinding maakt via een verdacht gebruikers-ID en de grootte van het risico moeten in kaart worden gebracht. De eigenaren van applicaties moeten documenteren wat het doel van de applicatie is en wie de gebruikers zijn. Vanuit daar moet de organisatie nagaan of deze gebruikers al over een SAP-licentie beschikken en zo ja, wat het licentietype is om te controleren of ze compliant zijn.

Configureren en toegang afschermen

Elke gebruiker die real-time toegang heeft tot gegevens van SAP moet een SAP-gebruikerslicentie van het juiste type hebben, tenzij anders vermeld staat in het contract of overeenkomst. Dus ook gebruikers die toegang hebben tot SAP via derde partijen. Voor organisaties is het daarom belangrijk dat zij goed in kaart brengen welke gebruikers van derde systemen daadwerkelijk gegevens uit het SAP-systeem nodig hebben in hun werkzaamheden. Daarnaast moeten deze apps opnieuw worden geconfigureerd, zodat toegang tot SAP-gegevens alleen mogelijk is voor degenen die deze nodig hebben. Organisaties moeten volledig inzicht hebben in hoe alle gebruikers – al dan niet menselijk – SAP gebruiken. Alleen op deze manier kunnen zij ervoor dat ze in 2018 niet worden verrast met hoge naheffingen.

Koen Schaeffers is SAP-specialist bij Snow Software