Článek přečtěte do 9 min.

Jasné a sebevědomé pochopení uživatelských rolí je zásadní pro úspěšnou správu NetSuite. Ať už zavádíte nový účet, čistíte starý nebo nastavujete oddělení povinností pro soulad se SOX, musíte mít pevné pochopení několika základních věcí.

Pochopení uživatelských rolí

NetSuite má systém řízení přístupu založený na rolích. To znamená, že každý uživatel potřebuje přidělenou roli, aby získal přístup, a tato role určuje, co může v systému vidět a dělat.

Existuje 636 různých oprávnění, která řídí 4923 samostatných úkolů, vyhledávání a záznamů. Kromě toho může mít každá role preferovaný nebo požadovaný seznam nebo formulář pro každý záznam a typ transakce. A navrch jsou všechna kontextová nastavení, která určují, jaká data uživatel vidí z různých segmentů a poboček. V závislosti na povaze vašeho účtu to mohou být stovky tisíc potenciálních kombinací.

Realita je však jen zřídka tak složitá. Jednoduše řečeno, role se skládají ze tří věcí:

  • Oprávnění: dávají uživatelům právo vidět data a dělat s nimi věci.
  • Omezení: omezuje použití oprávnění na údaje týkající se vaší pobočky, oddělení nebo třídy.
  • Rozhraní: jako jsou formuláře, zobrazení seznamů a řídicí panely a celkové navigační téma známé jako „centrum“ definují, jak uživatelé vidí věci.

Vysvětlení uživatelských oprávnění

Každá uživatelská role (kromě administrátora) potřebuje alespoň jedno oprávnění. Oprávnění je v podstatě svazek práv, které určují, co uživatel může a nemůže v systému dělat.

Většina oprávnění má také řadu úrovní oprávnění, od „Zobrazit“ po „Úplné“:

  • Zobrazit: Uživatel může vidět data, ale nemůže je změnit
  • Vytvořit: Uživatel může TAKÉ vytvořit záznam nebo transakci, ale nemůže je upravit
  • Upravit: Uživatel může TAKÉ změnit záznam nebo transakci poté, co byly vytvořeny
  • Full: Uživatel může TAKÉ VYMAZAT záznam nebo transakci

Buďte velmi, velmi opatrní při udělování úplných úrovní oprávnění téměř komukoli a téměř pro cokoli. Téměř žádné provozní role by neměly mít transakční oprávnění nastaveno na „Úplné“.

Čtyři často kladené otázky o uživatelských oprávněních

Jaká oprávnění má role Správce?

Administrátoři mají všechna oprávnění a možnost udělit přístup komukoli i možnost smazat celý váš účet. Měli byste si tedy dávat velký pozor na to, komu udělíte přístup správce. Jedna klíčová věc, kterou je třeba mít na paměti, je, že téměř všechny funkce zahrnuté v roli správce jsou k dispozici jako samostatná oprávnění. Nejlepší způsob, jak uvažovat o oprávnění, je jako zkratka, která umožňuje správcům poskytnout roli skupinu schopností v jednom kroku.

Co je to úkol?

Mnoho oprávnění je popsáno ve vztahu k úkolu. Tento vztah je jedním z hlavních zdrojů zmatku kolem oprávnění. Co je tedy úkol?

Úloha je v podstatě cesta k provedení něčeho v NetSuite. Vždy je reprezentován jedním nebo více prvky rozhraní. Tyto prvky mohou být něčím v navigaci nebo v rozhraní záznamu nebo transakce.

Oprávnění Schválení prodejní objednávky například zapíná a vypíná úlohu Schválení prodejní objednávky. Bez tohoto oprávnění nemůže uživatel schválit prodejní objednávku.

Jak oprávnění ovlivňují navigaci?

Úroveň oprávnění „Zobrazit“ řídí navigaci a v některých případech i možnost přidat připomenutí na panel. Další úrovně řídí schopnost vytvářet, měnit nebo mazat data v záznamech, transakcích nebo nastaveních, což zase může změnit funkčnost rozhraní přidáním tlačítka nebo povolením stavu schválení.

To platí nejen pro data a transakce, ale také pro všechna konfigurační oprávnění uvedená výše. Navíc ve skutečnosti nezáleží na tom, zda se funkce nazývá úkol nebo záznam – funkční vztah k oprávnění je stejný.

Jaké jsou různé kategorie pro role a oprávnění NetSuite?  

  • Transakce: Tato oprávnění řídí přístup k záznamům transakcí NetSuite a možnost je schvalovat. Je důležité přidělit omezená oprávnění na základě konkrétních rolí, aby bylo zajištěno správné oddělení povinností. Zvažte, zda určité role vyžadují oprávnění pro konfiguraci pracovních postupů SuiteFlow souvisejících s transakcemi.
  • Přehledy: Tato oprávnění určují přístup k širšímu finančnímu výkaznictví v rámci NetSuite. Role zapojené do finančního výkaznictví mají obvykle přiřazenu většinu těchto oprávnění.
  • Seznamy: Tato kategorie pokrývá přístup ke všem netransakčním záznamům v NetSuite, jako jsou zákazníci, dodavatelé a zaměstnanci. Mějte na paměti, že ne všechna oprávnění v této kategorii mohou být intuitivně pojmenována, proto si každé oprávnění pečlivě prostudujte, abyste pochopili jeho účel. Některá oprávnění správce, například „Hromadné aktualizace“, by měla být omezena na malou podmnožinu uživatelů.
  • Nastavení: Tato oprávnění jsou většinou administrativní povahy. Některá oprávnění v této kategorii však mohou být relevantní pro širší škálu rolí. Například oprávnění „Importovat soubor CSV“ umožňuje koncovým uživatelům zpracovávat vlastní importy CSV pro záznamy, ke kterým mají přístup. Oprávnění „Jednotné přihlášení SAML“ je navíc nezbytné pro role využívající ověřování jednotného přihlášení.
  • Vlastní záznam: Tato kategorie se týká SuiteApps nebo vlastních záznamů v rámci NetSuite. Přístup ke konkrétním záznamům nebo skupinám záznamů lze udělit uživatelům na základě jejich rolí. Během implementace nové SuiteApp se tato oprávnění často upravují tak, aby uživatelům umožňovala interakci s řešením podle potřeby.

Sledování chování správce

V NetSuite poskytuje role správce uživatelům široké transakční pravomoci – a s tím přichází potenciál pro podvod. V ideálním světě by žádný uživatel nebyl schopen vytvářet, upravovat a mazat transakce v produkčním účtu.

Pravidelné sledování a kontrola všech transakčních změn provedených uživateli s administrátorskými právy je klíčovou součástí přípravy na soulad se SOX – nemluvě o osvědčených postupech, jak zůstat v bezpečí. Odhalit tyto změny je však obtížnější, než byste čekali. V důsledku toho, i když svému týmu zcela důvěřujete, připravenost na audit může být problém.

Kořenem problému je, že v NetSuite se některé skripty a pracovní postupy spouštějí jako správce, i když je nespouští uživatel s oprávněními správce. Výsledkem jsou stovky nebo dokonce tisíce falešných poplachů, když spustíte prohledávání systémových poznámek pro transakční aktivitu.

Vyčištění nevyužitých rolí

Správa přístupu v NetSuite je mnohem obtížnější, když máte v systému nepoužívané role. Stejně jako jiné formy technického dluhu ztěžují použité role každé rozhodnutí o řízení přístupu. A čím déle budete projekt čištění odkládat, tím se problém zhorší.

Dva typy rolí jsou kandidáty na úklid:

  • Nepřiřazené role, které nejsou nikomu přiřazeny
  • Nepoužité role, které jsou přiřazeny, ale nepoužívají se

Chcete-li najít nepřiřazené role, jednoduše spusťte vyhledávání v záznamu zaměstnance a seskupte výsledky podle rolí. Žádná uživatelská role, která není na seznamu, není přiřazena nikomu.

Chcete-li najít nepoužívané role, spusťte prohledání kontrolního záznamu přihlášení (Nastavení>Správa uživatelů>Zobrazit kontrolní záznam přihlášení uživatele) pro všechna přihlášení za posledních šest měsíců. Pokud role není na tomto seznamu, není používána.

U zaneprázdněného účtu může tato vyhledávání vypršet. Chcete-li problém vyřešit, zužte vyhledávání pouze na role, které vás znepokojují.

Proč je to s Netwrix Strongpoint jednodušší

Netwrix Strongpoint je dodáván s předdefinovaným vyhledáváním pro identifikaci nepoužívaných a nepřiřazených rolí v NetSuite.

Netwrix Strongpoint poskytuje další úroveň zabezpečení a klidu, automaticky ukládá smazané role do trvalého archivu, který lze kdykoli obnovit.

Jak jsme uvedli výše, Netwrix Strongpoint je jediné řešení, které najde skripty, které se spouštějí jako konkrétní role.

Kontrola využití oprávnění

Pokaždé, když je záznam upraven, NetSuite vytvoří systémovou poznámku, která popisuje, co bylo změněno, kdy se to změnilo, kým a jakou rolí. Pomocí toho můžeme pracovat zpětně, abychom zjistili, jaká oprávnění se používají ke změně dat.

Pokud záznam obsahuje systémové poznámky a neexistují žádné systémové poznámky týkající se uživatelů vytvářejících nebo upravujících příslušný záznam, není oprávnění aktivně využíváno (tj. není používáno k zadávání nebo změně dat/nastavení).

Oprávnění, které není aktivně používáno, však může obsahovat navigační prvky, které nejsou zachyceny v poznámkách k systému. Pokud tedy používáte tuto metodu k vyčištění oprávnění NetSuite, měli byste u všech kandidátů, které identifikujete, nastavit možnost Zobrazit – nikoli odstranit – abyste předešli problémům s navigací.

Nakonec, pokud zjistíte, že potřebujete nastavit oprávnění k zobrazení (nebo odebrat oprávnění) ze skupiny vlastních rolí, můžete tuto změnu provést pomocí hromadné aktualizace. Buďte však VELMI OPATRNÍ, že vybíráte správné role.

Klíčové zprávy Netwrix Strongpoint:

Netwrix Strongpoint přichází se třemi hotovými zprávami, které vám pomohou zkontrolovat využití oprávnění:

  • Transakční aktivita podle role: Přehled „Transakční aktivita podle role“ zahrnuje všechny transakce, včetně vlastních transakcí.
  • Činnost společnosti podle rolí: Přehled „Činnost společnosti podle rolí“ zahrnuje potenciální zákazníky, zákazníky, potenciální zákazníky, dodavatele, partnery a další společnosti.
  • Aktivita dalších záznamů podle role: Sestava ‚Další záznam aktivity podle role‘ zahrnuje všechny záznamy a nastavení, které mají systémové poznámky

Použití principu nejmenšího privilegia na NetSuite

Aby byla zajištěna bezpečnost dat a minimalizováno riziko neoprávněného přístupu, je důležité při konfiguraci uživatelských oprávnění a rolí v rámci NetSuite uplatňovat zásadu nejmenšího oprávnění. Poskytnutím minimálních oprávnění nutných k provádění jejich pracovních funkcí mohou organizace snížit potenciál zneužití a neoprávněných akcí v rámci systému.

Princip nejmenšího privilegia obhajuje udělování co nejmenšího množství privilegií, které potřebují, aby mohli efektivně vykonávat své pracovní povinnosti. Odrazuje od praxe přidělování nadměrných privilegií nebo rolí, zejména v raných fázích organizace, kdy je kladen důraz na rychlost a agilitu. Udělení zbytečných oprávnění může způsobit, že systém bude zranitelný vůči zneužití a ohrožení zabezpečení. Pravidelná kontrola uživatelských oprávnění je nezbytná, aby bylo zajištěno, že jsou v souladu s aktuálními pracovními povinnostmi.

Při konfiguraci uživatelských oprávnění a rolí v NetSuite je důležité dodržovat zásadu nejmenších oprávnění, aby bylo zajištěno bezpečné prostředí.

Zde je několik klíčových úvah:

  1. Oprávnění na základě rolí: Srovnejte oprávnění pro podobné role, abyste zajistili konzistenci a snadnou průběžnou údržbu. Seskupením uživatelů s podobnými pracovními funkcemi do příslušných rolí můžete zjednodušit přidělování oprávnění a snížit riziko udělení nadměrného přístupu.
  2. Promyšlené vytváření rolí: Při vytváření nových rolí pečlivě vyhodnoťte požadovaná oprávnění pro každou roli. Zvažte zásadu nejmenších oprávnění a přidělujte pouze nezbytná oprávnění na základě konkrétních pracovních funkcí uživatelů v rámci těchto rolí.
  3. Průběžná údržba: Pravidelně kontrolujte a aktualizujte uživatelská oprávnění a role podle toho, jak se mění pracovní povinnosti. Tento postup pomáhá zajistit, aby uživatelé měli potřebná oprávnění k efektivnímu provádění svých úkolů bez zbytečného přístupu k citlivým datům nebo systémovým funkcím.
  4. Řízená migrace uživatelských rolí: Při provádění rozsáhlých migrací uživatelských rolí v rámci NetSuite zvažte alternativy k ruční migraci. Vyhodnoťte možnosti, které umožňují efektivní a bezpečné přechody rolí a zároveň minimalizují možnost chyb nebo nezamýšlené eskalace oprávnění.

Rizika obchodních procesů: Zajištění správných oprávnění NetSuite

Přiřazení oprávnění rolí a úrovní oprávnění v NetSuite je zásadní pro řízení přístupu uživatelů a udržování zabezpečení systému. Udělení nesprávných oprávnění nebo nevhodných úrovní však může představovat rizika obchodních procesů. Například nadměrná oprávnění bez řádných kontrol mohou vést k podvodům nebo chybám, zatímco neadekvátní oprávnění mohou bránit kritickým úkolům, jako jsou procesy finanční uzávěrky. Pečlivým vyhodnocením a sladěním oprávnění rolí se zásadou nejmenších oprávnění mohou organizace zmírnit rizika a zajistit bezpečné prostředí NetSuite.

NetSuite nabízí různé typy omezení, která lze definovat v rámci rolí pro řízení přístupu k různým typům záznamů. Patří mezi ně omezení zaměstnanců, omezení oddělení, omezení tříd, omezení umístění a omezení vedlejších společností. Každé omezení omezuje přístup ke konkrétním typům záznamů na základě určitých hodnot polí a zajišťuje, že uživatelé s přiřazenými rolemi mohou prohlížet nebo upravovat pouze relevantní záznamy.

Pokud však oprávnění a úrovně oprávnění nejsou přiřazeny správně, existují potenciální rizika obchodních procesů. Udělení nadměrných oprávnění, jako je povolení uživatelské role vytvářet záznamy dodavatelů, faktury dodavatelů a platby dodavatelů bez příslušných kontrol, může pro organizaci představovat významná rizika. Je zásadní vyhodnotit a zavést nezbytná opatření ke zmírnění rizik, aby se předešlo potenciálním podvodům nebo chybám.

Správa oddělení povinností v NetSuite

Oddělení povinností je koncept, že stejná osoba by neměla být schopna dokončit následné kroky ve stejném řetězci transakcí. Například osoba, která by mohla vypisovat šeky a také vyrovnávat bankovní účet, by mohla zahladit stopy při podvodu.

Oddělení povinností je zjevným velkým problémem při kontrole rolí a oprávnění NetSuite. Je to kritická součást dodržování SOX a je také stále více vyžadováno v soukromých společnostech.

Standardní praxí pro zachování segregace povinností je rozdělení odpovědnosti mezi různé lidi s různými rolemi. Lze toho také dosáhnout přidáním kontrolního kroku, jako je sekundární kontrola nebo schválení, na jednu část transakce.

Největší chybou, kterou společnosti při implementaci SoD dělají, je, že si nejprve nevyčistí své uživatelské role. Druhou největší chybou je, že se příliš svazují při úklidu svých rolí. S ohledem na to můžeme naplánovat mnohem jednodušší cestu, jak žít s SoD:

  1. Najděte a deaktivujte všechny nepoužívané a nepřiřazené role
  2. Najděte a odstraňte všechna nepoužívaná přiřazení rolí
  3. Zkontrolujte konflikty SoD v rolích pomocí knihovny pravidel Netwrix Strongpoint
  4. Zkontrolujte, zda jsou konfliktní oprávnění aktivně využívána; pokud ne, nastavte je na „Zobrazit“, abyste konflikt vyřešili.
  5. Vyřešte všechny zbývající konflikty vytvořením inteligentních ovládacích prvků pomocí Netwrix Strongpoint Agent.
  6. Zkontrolujte konflikty více rolí a vyřešte je pomocí agenta.

Oddělení povinností (SoD) je zásadní pro udržení účinných vnitřních kontrol a předcházení chybám a podvodům v rámci organizace. Existují tři hlavní oblasti, které je třeba oddělit: autorizace, úschova a vedení záznamů.

Zavedením oddělení povinností se snižuje riziko podvodu. K podvodu obvykle dochází, když jsou přítomny tři podmínky: motiv, racionalizace a příležitost. Oddělením klíčových úkolů, jako je vytváření dodavatelů a placení účtů, vytváření zákazníků a vydávání dobropisů nebo vytváření záznamů do deníku a jejich schvalování, se snižuje příležitost k podvodům.

Oddělení povinností je důležité, protože brání jedné osobě v přílišné kontrole a možnosti zneužít tuto kontrolu k neoprávněným účelům. Pomáhá chránit před podvodnými aktivitami, jako je zpronevěra fondů, firemní špionáž, odvetné kampaně nebo falšování finančních záznamů.

V kontextu NetSuite může být správa přístupu a vynucování oddělení povinností složité kvůli množství oprávnění a souvisejících úkolů. NetSuite obsahuje četná oprávnění upravující různé úkoly, vyhledávání a záznamy. Efektivní správa přístupu vyžaduje čas a zdroje, které nemusí být správcům a finančním týmům vždy snadno dostupné. Kromě toho může automatizace způsobit neočekávané konflikty, které mohou auditoři považovat za nedostatky v kontrole, což ještě více ztíží udržení správného oddělení povinností.

Soulad se SOX a kontroly přístupu

Jak bylo zmíněno výše, SoD – a kontrola přístupu obecně – je velkou součástí dodržování SOX. Auditoři chtějí vidět, že kontroly prevence podvodů jsou zabudovány do systému a podporovány dobře definovanými rolemi a přiřazením oprávnění.

Problém je v tom, že tradiční kontroly přístupu SoD jsou snímky v čase. Týmy NetSuite připravují své role a oprávnění pro čtvrtletní kontrolu, často za velké náklady. Tento přístup vyžaduje rozsáhlou ruční kontrolu souvisejících změn a hodiny práce při vyšetřování falešných poplachů. Stejně tak vám – ani vašim auditorům – nedává žádnou jistotu, že konflikty mezi audity budou zachyceny a vyřešeny.

Výsledkem je, že náklady na audit narůstají, úroveň stresu je vysoká a materiální nedostatky, které oba problémy dále zhoršují, jsou běžné. A co víc, v systému není zabudována žádná skutečná ochrana, takže i když se můžete potýkat s auditem, nejste ve skutečnosti chráněni proti podvodům, což je smyslem SOX pro začátek.

Přístup nepřetržitého dodržování předpisů ke správě přístupu

Netwrix Strongpoint je jediné nativní řešení SoD pro NetSuite. Na základě našeho přístupu k SOX „nepřetržitého dodržování předpisů“ průběžně monitoruje změny rolí a oprávnění, což vám umožňuje kdykoli zkontrolovat přístup připravený na audit.

Netwrix Strongpoint může také blokovat zvláště nebezpečné změny, jako je udělení administrátorských práv bez předchozího schválení. Implementuje se rychle, takže můžete vstát a spustit s menším stresem.

Předem vytvořené knihovny pravidel a nástrojů integrované do záznamů o zaměstnancích vám dávají možnost rychle implementovat detektivní, blokovací a zmírňující kontroly, které pomáhají řídit přístup ke kritickým rolím a oprávněním – a prokázat to auditorům.

Zdroj: Netwrix