Tietoturvan riskialueet SAP-ympäristössä : case HK Ruokatalo

Abstract

SAP ERP R/3 on toiminnanohjausjärjestelmä (ERP), joka integroi yrityksen kaikki liiketoiminta-prosessit yhteen järjestelmään. ERP-järjestelmän käytöstä saatavan hyödyn lisäksi yritykset kohtaavat myös uusia riskialueita, joiden takia riskien hallinta joudutaan määrittämään uudelleen.

Opinnäytetyön tavoitteena oli kuvata SAP-ympäristön riskialueita sekä käytäntöjä, joilla mahdol-lisia uhkakuvia voitaisiin pienentää. Asioita tutkittiin sekä yleisen tason että HK Ruokatalon nä-kökulmasta. Teoriaosuudessa keskityttiin ERP-järjestelmien toimintaan yrityksen käytössä, SAP ERP:n riskialueisiin, riskihallinnan kontrolleihin, toimintatapoihin sekä standardeihin. Käytännön osiossa analysoitiin HK:n SAP ERP-ympäristön riskialueita kerättyjen teoriamateriaalien pohjal-ta. Osiossa esitettiin HK:n kannalta merkittävimmät riskialueet, niiden seuraukset sekä toimenpi-teet, joilla riskejä voidaan pienentää.

Opinnäytetyön teoreettinen viitekehys koostui SAP ERP:n tietoturvamateriaaleista ja asiantuntijahaastattelun tuloksista. Empiirisen osuuden tutkimustulokset ja päätelmät perustuivat teo-riaosuuden ja toimeksiantajan kanssa käytyjen haastatteluiden analysointiin.

Johtopäätöksissä pohdittiin SAP ERP-järjestelmän osa-alueita, joihin HK Ruokatalon kannattaa tulevaisuudessa kiinnittää huomiotaan. Pohdinnassa esitettiin myös huomioita yleisellä tasolla sekä kuvattiin ISO/IEC 27001- ja 27005-standardit, joiden avulla yritykset voivat rakentaa riskien hallintoaan.

SAP ERP:n yleisimpiä riskialueita ei voida suoraan osoittaa, sillä jokainen SAP-ratkaisu riippuu täysin asiakasyrityksen rakenteesta ja liiketoimintavaatimuksista, ja vaihtelevat näin tapauskoh-taisesti. Materiaalien pohjalta voidaan kuitenkin todeta, että merkittävä osa riskeistä periytyy jo järjestelmän käyttöönoton ajalta. Suurin osa ongelmista johtuu huonosti tehdyistä määrittelyistä ja liian aikaisesta käyttöönotosta. Yritykset saattavat riittää, että kunhan vain järjestelmä toimii tuotannossa.

SAP ERP R/3 is enterprise resource planning-system (ERP) which integrates all business processes to one system. In addition to the benefit what comes from the use of ERP-system, the customer companies will also face new fields of threats, which intimidate to define the risk controlling all over again.

The objective of this thesis was to describe the risk domains of SAP-enviroment in general level and in use of HK Ruokatalo and practices which reduce these risks. The theoretical part described about ERP-system’s functions within the company, and the risk domains of SAP ERP’s, and the controls of risk management, and the practices and standards. On the empirical part the risk domains of HK’s SAP-enviroment were analysed based on the theoretical materials. The section describes the significant risk domains with the consequences and the risk reducing practices from HK Ruokatalo’s point of view.

The theoretical context of the thesis consists of SAP ERP’s data security materials and the results of consultant interview. The research results and conclusions of the empirical part are based on analyses of theoretical part and interviews.

On the conclusions there were deliberated the fields of SAP ERP-systems which HK Ruokatalo should be giving their focus on. On the conclusions presented also observations on the general level and described ISO/IEC 27001 and 27005 standards, which the companies can use to build up their risk management.

The common risk domains of SAP ERP’s cannot be proved directly because every SAP-settlement depends completely on the customer company’s structure and business require-ments, and can fluctuate on case-specific. Nonetheless there can be stated based on materials that the significant part of risks are descended from the implementation. The considerable parts of problems come from badly made definitions and hasten implementation. Companies may be satisfied as long as the system is running on production