1 SYSTEMADMINISTRASJON I UBW GOD SYSTEMADMINSTRASJON = GOD GDPR GJENNOMGANG AV UBWS VERKTØY FOR Å STYRE TILGANG TIL INFORMASJON, DATAKONTROLL, MM HVORDAN BLI MER EFFEKTIV MED SYSTEMADMINISTRASJON? PRAKTISKE EKSEMPEL FRA ET STØRRE PROSJEKT- ROLLER OG DATAKONTROLL VIDAR BJØRNSON OG JARLE REITE
Hvem er vi? Jarle Reite Bor i Trondheim E-Post: Jarle.Reite@evry.com Mobil: 982 06 501 Erfaring og kompetanse: Jobbet med UBW siden 1996 Jobbet mange år som systemansvarlig i et større norsk firma Har vært ansatt i EVRY i to år og er for tiden fagansvarlig for faggruppe system og felles i EVRY. Jobbet mye med rapportering mm
Hvem er vi? Vidar Bjørnson E-Post: vidar.bjornson@evry.com Mobil: 48012664 Erfaring og kompetanse: Jobbet med UBW siden 1998 Har bakgrunn både fra Agresso AS som konsulent og Agresso R&D som teamleder for rapporteringsteamet Har vært ansatt i EVRY i 4 år og er for tiden løsningsansvarlig for utrulling av UBW for våre banker
AGENDA Hva er god systemadministrasjon? Roller, brukere og tilganger Datakontroll i UBW Praktiske eksempeler fra et større prosjekt på datakontroll/rollestruktur Kontroll på utdata rapporter Kontroll på utdata - spørringer Logging av endringer Praktiske eksempeler på verktøy for å effektivisere systemadministrasjonen 4
Hva er god systemadminstrasjon generelt 5 Løsningen er enkel å forstå og bruke (også dokumentert) Riktige personer har tilgang til riktig informasjon, gjelder både registrering og oppslag Man bruker verktøykassen til systemet effektivt Feil/avvik oppdages så tidlig som mulig Man har kontroll på løsning (integrasjoner fra og til) Sørge for at systemet er trimmet, oppdatert og at flaskehalser fjernes Man bør tar en «helsesjekk«av systemet eks hvert 5 år for å se om løsningen er i henhold til: - organisasjonens utvikling - krav som stilles - samt arbeidsmetoder som brukes
Hva er god systemadminstrasjon generelt II Løsningen er enkel å forstå Hvor er det enklest å vedlikeholde 6
7 Hva er god systemadminstrasjon i UBW? Generelt: Løsningen bør være satt opp slik at den er enkel å forstå Den skal være lett å ta ut / presentere til f.eks. revisor Roller bør opprettes slik at de er enkle å forstå og bruke Brukere Begrenset antall brukere bør kunne gi tilganger Man bør ha få/ingen fellesbrukere av typen SYSNO Kun de som SKAL ha alle tilganger skal ha ALLE tilganger Man har kontroll på informasjonen i systemet = GDPR https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/ Man har kontroll på rapporter som kjøres dvs bestilte / faste og IA bestilte jobber Rapporter bør i tillegg ikke bruke lang tid da bør de analyseres. Man har god kontroll på integrasjonene i løsningen hvor henter UBW data fra og hvor leverer UBW data til Løsning bør settes opp slik at feil avdekkes tidlig Trim løsningen dvs vær flink til å stenge ting som ikke brukes (periode, begreper, mm)
Brukere og tilgang - Roller Roller bør være logisk oppbygd og lett å forstå Man bør skille roller som har ulikt formål dvs: - Roller for tilgang til menypunkt - Roller for bruk i arbeidsflyt - Roller som brukes i datakontroll Med f.eks. en tydelig prefiks Roller som ikke brukes skal STENGES 8
Brukere og tilgang - Brukere Riktige brukere har tilgang Dvs brukerregister må kontinuerlig oppdateres iht brukere som slutter/starter Begrens bruken av fellesbrukere (SYSNO osv) SUPER rollen bør KUN brukes for å overstyre datakontroll Bruk Single Sign On i størst mulig grad for bedre sikkerhet 9
Brukere og tilgang - Tilganger Riktige brukere må ha riktig tilgang Dvs brukerregister må kontinuerlig oppdateres iht arbeidsoppgaver/endringer i arbeidsoppgaver Brukere som KUN skal gi tilgang i ett firma bør ikke bruke brukerregister under systemadministrasjon men under Distribuert brukerdefinisjon 10
Tilganger styrer hvilke menypunkt som vises - hva mere kan man gjøre Om du ikke får gitt 100% ok tilgang via tilgang og rolle kan du bruke vindusalternativ. Vindusalternativ brukes for å tilpasse et skjermbilde til en rolle. Tenkt scenario Kun rolle XX skal se personnummer i et skjermbilde. Da kan man: A: Lage to varianter av skjermbildet B: Distribuere disse til riktige roller 11
Datakontroll i UBW Datakontroll brukes om man vil begrense hvilke data en bruker (via rolle) skal få opp i et menypunkt. Typiske eksempel: - Datakontroll styrer hvilke avdelinger man får opp - Datakontroll styrer hvilke konti man får opp - Datakontroll styrer hvilke prosjekt man får opp Fremgangsmåte: A: Litt basis oppsett Begrep X på DC, relasjon mellom rolle og begrepet B: Man lager en relasjon mellom rolle og begrepet man ønsker skal begrenses (skjermbilde datakontrollrelasjoner) C: Man styrer i hvilke skjermbilder denne begrensningen skal aktiveres (skjermbilde datakontrolladministrasjon) Praktiske eksempel fra et større prosjekt på datakontroll/rollestruktur Live med Vidar 12
Beskytt utdata - rapporter Rapporter med sensitive data er det viktig at man beskytter. Tilgang til UBWs dataområde Om rapporter legges ut på et filområde så bør det sikres at KUN riktige brukere har tilgang her: Egne serverkøer kan styre egne filområder Færrest mulig skal ha tilgang her Ajourhold rapportbestilling I web får man opp «Dine bestilte rapport» hvor du får opp KUN dine bestilte rapporter. I web/desktop kan man også få tilgang til Ajourhold rapportbestilling. Der får man opp alle rapporter om man ikke aktiverer et systemparameter REP_VIEW TENK PÅ DETTE RUNDT SENSITIVE RAPPORTER 13
Beskytt utdata - spørringer Alle UBW løsninger bør ha god kontroll på hvem som kan sette opp spørringer og distribuere disse videre. De som skal sette opp spørringer og distribuere disse må ha tilstrekkelig opplæring til å forstå hvordan UBW løsning rundt dette fungerer. Dvs Desktop Spørringer / Browser spørringer WEB Informasjon Browser Dette er fleksible verktøy som er mye brukt i alle løsninger. Man bør ellers tenke på: Har man kontroll på mulighet «Utvid browser» Er man flink til å bruke makroer i spørringer/datakontroll for å sikre data så godt som mulig (typisk eks makro $Resource_id = Prosjektleder) 14
Logging av endringer i UBW 15 UBW bør settes opp med logging Man bør vurdere logging på tabeller hvor det er : A: Sikkerhetsaspekt (hvem har endret) B: Arbeidsbesparende (om det oppstår feil) Generelt så anbefaler vi at man setter på logging på: Kontoplan, konteringsregler, avgiftskoder, firmaopplysninger, leverandørregister, kunderegister Man kan også logge den del rundt brukerregister og tilganger > vurder dette Har man lønn bør man også logge : Ansattregister, lønnartsregister, Relasjoner Ansatte, Stilling osv Generelt tips: Slå på logging på det som er viktig å ha kontroll på
Effektiv systemadministrasjon I UBW Kompleksiteten og størrelsen på ulike UBW løsninger varierer mye. Har man en lite kompleks og liten organisasjon er det neppe behov for verkøy utover UBW standard. Større løsninger med mange firma er ofte arbeidskrevende og krevende å ha kontroll på. Mange har sikkert allerede satt opp en del av dette men håper det gir noen tips rundt effektiv systemadministrasjon Her er eksempel på en løsning som vi i EVRY har laget for å jobbe effektivt med dette «System og sikkerhetspakke». I fase en er det en rapportpakke. Det vil i løpet av våren komme en grafisk presentasjon av på det samme. 16
Effektiv systemadministrasjon I UBW system og sikkerhetspakke BAKGRUNN: UBW har mange oppsettmuligheter og mange skjermbilder for å sette opp systemet. Mye går på system og mye på sikkerhet. Å få totaloversikt er ofte vanskelig og krever mange spørringer. Har man flere firma i løsninger blir kontroll enda mer utfordrende. MÅLSETTING: Samle sentrale data i en «rapportpakke» som henter ut disse. Data skal presenteres på en lett forståelig måte Forenkle kontroll/administrasjon i UBW oppsett med flere firma Rapportene kan om man ønsker det enkelt settes opp til å kjøre fast på gitte tidspunkt MÅLGRUPPE: Systemeiere / Revisjonsformål eks. IT revisjon / andre ledere / økonomifunksjon / mm 17
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Eks Roller Oversikt over roller i løsningen med forklaring 18
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Eks Roller Oversikt roller hvilke firma er de satt opp i 19
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Eks Brukere Oversikt aktive brukere 20
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Eks Brukere Ikke aktive brukere 21
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Eks Tilganger Hvem har hvilke roller i hvilke firma 22
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Eks Logging Hva logges 23
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Eks Rapporter som bruker lang tid 24
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Eks Ajourhold forsystem 25
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Eks Periodeoppsett 26
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Eks Faste rapporter 27
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Eks Valutakurser 28
Til slutt tenk på hvordan du har kontroll i din nærmeste organisasjon eks DITT HJEM HUS UBW Tilgang til hus Nøkkel Brukere, tilgang og passordpolicy. Ekstra sikkerhet Eks Securitas Revisor/Internkontroll Svakheter Ikke vits å sikre ytterdør ekstra hvis verandadør står åpen Ha kontroll på hele systemet desktop / web / apper / apier osv 29 Ryddighet/enkelhet Tilganger inne i huset Skal alle ha tilgang til all informasjon Man beskytter dokumenter De fleste liker å ha ryddig og strukturert hus som gjør det lett å finne ting Kast aviser osv når de er gamle Eks foreldrekontroll på nett for barn Man lagrer sensitive og viktige dokument godt Enkel og oversiktlig løsning Rydd registrene i UBW Datakontroll Datakontroll og tilganger
Til slutt tenk på hvordan du har kontroll i din nærmeste organisasjon eks DITT HJEM DITT HJEM HUS UBW Tilgang inne i huset Hvem har tilgang til stekeovn Alle unntatt. Tilgang og roller Omorganisere stua KUN gitte Tilgang og roller Om flere bor i huset Interne kjøreregler Max 15 min på bad om morgenen Følg retningslinjer utarbeidet i organisasjonen 30
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Oppsett: To enkle fleksifelt må settes opp Firma Her identifiserer man aktuelle firma i løsning som man ønsker sjekket Rolle Brukes for å forklare Rollene som eksisterer i løsningen Et menypunkt settes opp under egne menyer Her legger man de fire rapportene som pakken består av pr nå Rapportene med format RERX dvs standard UBW legges på Customized report området Utdata kommer i excel. Rapportene kan om ønskelig settes opp til å kjøre ved gitte tidspunkt. 31
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Hvilken informasjon får man ut: PAKKE 1: Om UBW løsningen Informasjon om UBW løsningen Opplisting av firma i løsningen Antall bilag/transaksjoner registrert Systemparametre Sjekk konteringsregler Vindusalternativ Versjon + exp.packer osv Viser aktuelt år samt foregående år antall bilag samt antall rader for alle firma. Krysstabulert. Opplisting av alle avvikende systemparametre i løsning. Lister opp avvik her krysstabulert -når det er avvik fra sys.oppsett. Opplisting av konteringsregler med alle dimensjoner i alle firma gruppert pr regel Opplisting av aktive vindusalternativ iht menypunkt + firma 32 PAKKE 2: Brukere og roller Opplisting og forklaring av rollene i løsningen Opplisting roller pr firma Opplisting roller som IKKE brukes Opplisting brukere Opprydding IKKE AKTIVE brukere Opplisting roller, brukere - pr firma Opplisting brukere, roller - pr firma Tilganger pr rolle WEB/Desktop Krysstabulert Lister opp roller som er aktive men IKKE brukes i løsningen Oversikt aktive brukere i løsningen mye info Lister opp alle brukere som IKKE er aktive i løsningen Krysstabulert Krysstabulert
Effektiv systemadministrasjon I UBW system og sikkerhetspakke Hvilken informasjon får man ut: PAKKE3: Logging og andre sikkerhetsmuligheter Oppsetting logging i UBW Opplisting av datakontroll Sjekker oppsett av logging og kommer med enkelte anbefalinger. Lister opp alle begrep i løsningen hvor datakontroll er aktivert PAKKE4: Andre systemoversikter og systemsjekker Oversikt saldotabeller Rapporter som tar lang tid Import forsystem Periodeoppsett IKKE ok Faste rapporter opplisting Sjekk status betalingsposter sendt til bank Sjekk Valutakurser Hvilke saldotabeller blir generert når hovedbok oppdateres Lister opp alle rapporter siste 30 dager som tar mer enn 5 min å kjøre Lister opp alle bunter som ligger i ajourhold forsystem Når enten oppsett periode i et firma er eldre enn to måneder eller Det er åpne regnskapsperioder som er eldre enn to måneder Opplisting hvilke faste rapporter (Faste rapporter + intellagent) som går og hvilke brukere som er satt opp på disse Lister opp aktuelle poster som ligger som ikke avregnet men som burde vært det Sjekker at brukte valutakurser er ok i løsningen 33
Vidar Bjørnson Vidar.Bjørnson@evry.com Jarle Reite Jarle.Reite@evry.com Ha en fortsatt fin dag