GRC Advisory

🇵🇱&🇬🇧Version
10 000 konfliktów SoD w systemie, który miał być bezpieczny. Co poszło nie tak⁉️

Nie dostawca. Nie zespół wdrożeniowy. Problem zaczął się dużo wcześniej - na etapie założeń projektowych.

Projekt przebiegł sprawnie, system ruszył na czas, nowy model ról został dostarczony. Wszystko zgodnie z planem.

Tyle że plan nie uwzględniał jednego: bezpieczeństwa autoryzacji.

W zakresie projektu nie znalazły się:
❌ Wymagania dotyczące modelu uprawnień
❌ Zasady rozdziału obowiązków (SoD)
❌ Oczekiwany poziom bezpieczeństwa
❌ Osoba odpowiedzialna za odbiór modelu ról z perspektywy kontroli wewnętrznej

Efekt❓Ujawnił się dopiero podczas audytu:
🔴 Ponad 10 000 konfliktów SoD
🔴 1/3 to konflikty wysokiego ryzyka
🔴 Niemal każdy użytkownik z przynajmniej jednym ryzykiem
🔴 80% nadanych uprawnień nieużywanych w codziennej pracy

Przyczyna? Role zaprojektowane zbyt szeroko, bo nikt nie określił granulacji uprawnień na etapie planowania. Autoryzacja została potraktowana jako element towarzyszący wdrożeniu - nie jako osobny obszar wymagający własnej metodologii.

Dlatego promujemy podejście „security by design” - zasady SoD muszą być częścią założeń projektowych od pierwszego dnia, nie poprawka po audycie.

👉 Pełne case study na naszej stronie - link w komentarzu.

🇬🇧Version
10,000 SoD conflicts in a system that was supposed to be secure. What went wrong?

Not the vendor. Not the implementation team. The problem started much earlier-at the design brief stage.

The project ran smoothly, the system launched on time, and the new role model was delivered. Everything was according to plan.

However, the plan didn't address one thing: authorization security.

The project scope did not include:
❌ Requirements for the authorization model
❌ Separation of Duties (SoD) principles
❌ Expected level of security
❌ Person responsible for reviewing the role model from an internal control perspective

The effect was revealed only during the audit:
🔴 Over 10,000 SoD conflicts
🔴 1/3 were high-risk conflicts
🔴 Almost every user had at least one risk
🔴 80% of assigned permissions were not used in daily work

The reason? The roles were designed too broadly because no one defined the granularity of permissions during the planning phase. Authorization was treated as an element accompanying the implementation-not as a separate area requiring its own methodology.

That's why we promote a "security by design" approach-SoD principles must be part of the design brief from day one, not a post-audit fix.

👉The full case study is available on our website-link in the comments.

🎄Spokojnych i Bezpiecznych Świąt🎄

Niech ten wyjątkowy czas będzie pełen spokoju,
dobrych emocji i poczucia bezpieczeństwa —
offline i online 💙

Dziękujemy, że jesteście z nami.
Życzymy Wam spokojnych Świąt oraz bezpiecznego Nowego Roku!

Zespół GRC Advisory 🔐✨

Czas na Archer!

Archer od lat jest częścią portfolio GRC Advisory i wspiera organizacje w zarządzaniu ryzykiem, zgodnością i audytem.
Teraz przyszedł czas, aby to rozwiązanie wyszło na pierwszy plan i dostało własną stronę internetową.

👉 Archer to:
🔸 zintegrowane podejście do GRC
🔸 porządek w procesach i danych
🔸 wsparcie w regulacjach (NIS2, DORA, RODO)
🔸 narzędzie dla organizacji, które chcą świadomie zarządzać ryzykiem

✨ Tuż przed świętami oddajemy stronę użytkownikom.
Zapraszamy do odwiedzin i zapoznania się z Archerem bliżej:

➡️ https://archergrc.pl

Migracja do S/4HANA? Uważaj, żeby nie skończyć z pustym ekranem Fiori! 🥶
Skopiowanie starych ról z ECC może brzmieć jak szybkie rozwiązanie, ale to przepis na katastrofę.
W nowym odcinku GRC Ninja tłumaczymy, dlaczego warto budować uprawnienia od nowa i jak uniknąć typowych błędów.

Dowiedz się:
👉 czym różni się Brownfield od Greenfield,
👉 które transakcje w nowym systemie już nie działają,
👉 jak krok po kroku zaplanować migrację uprawnień.

📅 Premiera już dziś!
🎥 Oglądaj tutaj: https://www.youtube.com/watch?v=h3kM49OYXmk