1. SAP Segregation of Duties (SoD) Nedir?
SAP sistemlerinde Segregation of Duties (SoD), yani Görevlerin Ayrılığı İlkesi, bir kullanıcının veya bir rolün aynı anda birden fazla kritik işlemi gerçekleştirmesini önlemeye yönelik bir güvenlik önlemidir.
SoD’nin temel amacı, yetki kötüye kullanımını engellemek, hata riskini azaltmak ve şeffaflığı sağlamaktır. Özellikle finans, satın alma, envanter ve kullanıcı yönetimi gibi hassas SAP modüllerinde SoD uygulamak büyük önem taşır.
2. SoD Neden Önemlidir?
SAP sistemlerinde görevlerin ayrılığı aşağıdaki nedenlerden dolayı kritik bir güvenlik prensibidir:
- Dolandırıcılığı Önleme: Aynı kullanıcının hem ödeme onayı hem de ödeme girişini yapmasını engelleyerek, potansiyel suistimalleri önler.
- İç Kontrolleri Güçlendirme: Finansal raporlamada şeffaflığı artırır.
- Yetki Çakışmalarını Azaltma: Kullanıcıların birden fazla kritik işlemi gerçekleştirmesinin önüne geçerek sistem bütünlüğünü korur.
- Düzenleyici Uyumluluk: GDPR, SOX (Sarbanes-Oxley) ve ISO 27001 gibi yasal düzenlemelere uyum sağlar.
Örnek bir SoD ihlali: Bir kullanıcının hem F110 (otomatik ödeme) yetkisine hem de FB60 (fatura girişi) yetkisine sahip olması, ciddi bir finansal risk oluşturabilir.
3. SoD Riskleri Nelerdir?
SAP sistemlerinde en sık karşılaşılan SoD ihlalleri şunlardır:
3.1 Finansal SoD İhlalleri
| İşlem Kodu 1 | İşlem Kodu 2 | Risk Açıklaması |
|---|---|---|
| FB01 – Muhasebe Belgesi Girişi | F110 – Otomatik Ödeme İşlemi | Kendi oluşturduğu faturaları onaylayabilir. |
| FB60 – Fatura Girişi | MIGO – Mal Kabul İşlemi | Faturasız mal girişi yaparak usulsüzlük gerçekleştirebilir. |
| F-58 – Nakit Ödeme | FCH1 – Çek İptali | Sahte ödemeler ve çek iptalleri yapılabilir. |
3.2 Satın Alma SoD İhlalleri
| İşlem Kodu 1 | İşlem Kodu 2 | Risk Açıklaması |
| ME21N – Satın Alma Siparişi | MIGO – Mal Girişi | Sahte siparişler oluşturulup onaylanabilir. |
| ME22N – Satın Alma Sipariş Güncelleme | MIRO – Fatura İşleme | Kendi oluşturduğu siparişleri faturalandırabilir. |
3.3 Kullanıcı Yönetimi ve Güvenlik SoD İhlalleri
| Yetki Nesnesi 1 | Yetki Nesnesi 2 | Risk |
| S_USER_GRP – Kullanıcı Gruplarını Yönetme | S_USER_PRO – Yetki Profili Yönetimi | Kullanıcılara yetki yükseltme yapabilir. |
| S_USER_AUT – Yetki Atama | S_USER_SUA – Kullanıcı Yönetimi | Yetkileri kötüye kullanabilir. |
4. SoD Risklerini Önleme Yöntemleri
4.1 SAP GRC (Governance, Risk, and Compliance) Kullanımı
SAP GRC Access Control, SoD ihlallerini tespit etmek ve yönetmek için kullanılan en yaygın araçlardan biridir. SAP GRC Risk Analysis & Remediation (RAR) modülü ile yetki çakışmalarını analiz edebilir ve riskleri önleyebilirsiniz.
SAP GRC ile SoD Kontrolleri:
- SAP GRC’ye giriş yapın.
- Access Risk Analysis (Erişim Risk Analizi) modülünü açın.
- Kullanıcı veya rol bazlı analiz yapın.
- Riskli yetki kombinasyonlarını belirleyin.
- İlgili yöneticilere rapor göndererek aksiyon alınmasını sağlayın.
4.2 SAP SUIM ile Yetki Analizi
SoD risklerini manuel olarak kontrol etmek için SAP SUIM (User Information System) kullanılabilir.
SAP SUIM Kullanımı:
- SUIM işlem kodunu çalıştırın.
- “Yetki Nesneleri ile Kullanıcıları Ara” seçeneğini seçin.
- SoD ihlaline yol açabilecek yetki nesnelerini girin (örn: S_USER_GRP ve S_USER_AUT).
- Raporu çalıştırarak riskli kullanıcıları tespit edin.
4.3 SoD Uygulama Politikaları
- Yetki Rollerini Minimum Yetki İlkesi (PoLP) ile Yönetme
- Yetki Çakışmalarını Periyodik Olarak İnceleme
- Kritik Yetkileri İçeren Roller İçin Onay Süreçleri Tanımlama
- Düzenli İç ve Dış Denetimlerin Yapılması
4.4 SAP Firefighter Kullanımı
SAP Firefighter, sistemde belirli bir süre boyunca geçici yetki verilmesini sağlayarak acil durum erişimi sunar. Firefighter ID kullanarak, kritik işlemleri denetleyebilir ve izleyebilirsiniz.
Firefighter Kullanımı:
- Kullanıcıya geçici yetki atanır.
- Kullanıcı belirlenen süre boyunca kritik işlemleri gerçekleştirir.
- Yapılan işlemler SAP GRC Firefighter logları ile kayıt altına alınır.
- Yönetici tarafından işlemler incelenir ve doğrulama yapılır.
5. Sonuç
SAP sistemlerinde Segregation of Duties (SoD), güvenlik ve iç kontrollerin en kritik unsurlarından biridir. Doğru uygulanmazsa, şirketler dolandırıcılık, veri ihlali ve yasal uyumsuzluk gibi risklerle karşılaşabilir.
Bu riskleri minimize etmek için:
- SAP GRC veya SUIM kullanarak periyodik SoD analizleri yapılmalıdır.
- Yetkiler en düşük seviyede verilerek rol bazlı erişim yönetimi uygulanmalıdır.
- Firefighter ve denetim mekanizmaları ile kritik yetkiler izlenmelidir.
- İç ve dış denetimler düzenli olarak gerçekleştirilmelidir.
SAP SoD yönetimini doğru bir şekilde uygularsanız, sistem güvenliğinizi artırabilir, operasyonel riskleri minimize edebilir ve düzenleyici yükümlülüklere tam uyum sağlayabilirsiniz.
İlk Yorumu Siz Yapın