10 suggerimenti dopo aver installato SAP GRC

Posted by Massimo Manara on Aug 28, 2019 12:00:00 AM

 

Hai installato uno dei sistemi SAP GRC? 10 suggerimenti su come migliorare l'utilizzo della suite di Governance SAP

 

GRC Tips_tricks

 

All'interno dell'area SAP GRC (Governance, Risk and Compliance) rientrano diversi sistemi i principali sono i seguenti:

  • SAP GRC Access Control
  • SAP GRC Process Control
  • SAP GRC Risk Management
  • SAP Global Trade Services (GTS)
  • SAP Environment, Health and Safety (EHS)
  • SAP Cloud Identity Access Governance

 

10 punti di attenzione che potresti applicare! Non hai ancora installato SAP GRC? Allora leggi qui.

1 Amplia il sistema a fasi, non svolgere tutto subito

In particolare per i sistemi Access Control, Process Control e Risk Management è utile iniziare con pochi processi aziendali coinvolti. Gestendo dall'inizio alla fine, nel caso dell'Access Control, la definizione dei rischi di Accesso (Rischi SoD, Critical Actions o Critical Permission), la risk analysis/remediation e soprattutto la parte di mitigation e continuous compliance.

 

Nel caso del Process Control, realizza un PoC (Proof of concept) per capire se è applicabile alla tua realtà e quali sono eventuali limiti o problematiche.

 

2 Usi SAP GRC Access Control EAM? Verifica come viene usato

L'utilizzo di questo modulo del SAP GRC Access Control (Emergency Access Management o Firefighter), che permette di gestire l'accesso in emergenza da parte degli utenti viene spesso attivato senza poi rivederne il reale utilizzo. Capita spesso infatti che venga utilizzato quotidianamente senza ragione a volte.

 

In quali casi/scenari potrebbe essere utilizzato?

  • Utenti esterni (es. Consulenti) che in produzione accedono in sola lettura. Nel momento di necessità possono utilizzare una super utenza (in maniera del tutto trasparente, eseguendo una particolare transazione, senza digitare credenziali) la quale è abilitata a svolgere un insieme di azioni (transazioni SAP). Tutte le azioni svolte durante la sessione di firefighting sono tracciate dal sistema. Attenzione, l'utilizzo di eventuali transazioni custom in modifica che non contengono a livello di codice ABAP i necessari statements per la tracciatura delle modifiche, possono non essere registrati nei log.
  • Utenti ICT che ricadono nello stesso scenario sopra
  • Utenti finali che devono svolgere delle operazioni che vanno al di fuori della loro normale operatività.
  • SAP GRC EAM può essere utilizzato dalla versione 12 anche per gestire l'accesso amministrativo o in emergenza IT al database HANA (leggi qui come mettere in sicurezza/hardening il database HANA)

 

La super utenza può essere richiesta tramite un workflow approvativo (attraverso l'utilizzo del modulo SAP GRC Access Control Access Request Management - ARQ) oppure essere assegnata o pre-assegnata da un amministratore per un determinato periodo di tempo.

 

Quali sono i punti di attenzione dopo aver attivato l'uso delle super utenze SAP?

  • Verifica ed eventualmente modifica i reason code utilizzati
  • Calcola le percentuali di utilizzo delle super utenze
  • Intervieni sui ruoli associati alle super utenze
  • Effettua un monitoraggio di quanto viene svolto durante la sessione di firefighting
  • Rivedi le descrizioni inserite durante l'uso della super utenza sensibilizzando il personale su cosa inserire (es. Ticket di riferimento o transazioni utilizzate)

 

3 Usi SAP GRC Access Control ARA? Aggiungi ulteriori rischi o sistemi!

Il modulo Access Risk Analysis della suite Access Control permette di definire una matrice di Segregation Of Duties (SoD) contenente funzionalità standard o custom.

 

Se attivi nuovi processi dovresti adeguare la matrice SoD.

 

La matrice non è statica, deve essere costantemente aggiornata ogni volta che viene definita una transazione custom o un nuovo processo SoD relevant.

 

4 Usi SAP GRC Access Control ARA? Includi sistemi legacy nella risk analysis

Tramite questo componente è possibile includere nella risk analysis alcuni sistemi legacy (non SAP). Sistemi proprietari o terzi.

 

Puoi definire delle regole (usando le strutture dati SAP) che permettono a SAP GRC di analizzare anche sistemi non SAP.

 

 

 

5 Usi SAP GRC Access Control ARA? Includi le analisi cross system

Se hai diversi sistemi, in particolare se un processo SoD è suddiviso in vari sistemi, potrebbe essere utile definire delle regole Cross System.

 

Immagina che i fornitori siano definiti nel sistema SAP SRM (SAP Supplier Relationship Management) mentre il pagamento dei fornitori sia effettuato in SAP ECC o S/4HANA.

 

Nel caso sopra una utenza analizzata sul singolo sistema potrebbe non rappresentare un rischio. Analizzata tenendo conto degli accessi ad entrambi i sistemi, potrebbe al contrario rappresentare un rischio.

 

6 Crea degli script di testing dei controlli

Una volta che hai definito i controlli compensativi, questi devono essere "testati". La fase di testing dei controlli (testing controls audit) permette di eseguire effettivamente il controllo.

Definisci delle procedure che indichino chi, come e quando deve eseguire questa fase.

 

7 Attiva il modulo del GRC Process Control di Automated monitoring

La gestione dei controlli mitigativi è una fase molto dispendiosa, in termini di tempo di realizzazione ma soprattutto durante la loro esecuzione.

 

Se hai configurato il GRC Process Control, valuta l'attivazione del componente di Automated monitoring (SAP GRC Process Control AM)

 

8 Evita di associare i ruoli manualmente in SAP (ARQ o IDM)

Se attivi il sistema Access Request Management, puoi automatizzare la fase di provisioning dei ruoli SAP e delle utenze nei vari sistemi coinvolti.

 

Ricorda che questo componente ha delle sovrapposizioni con i sistemi di Identity Management.

 

Nella maggior parte dei casi, dove questi sistemi sono presenti, il GRC viene utilizzato per la sola verifica della conformità SoD mentre l'IDM per il provisioning nei vari sistemi SAP e non SAP.

 

9 Attiva i workflow di User Access Review e SoD review

Sono dei workflow standard all'interno del SAP GRC Access Control che permetto di rivalidare:

  • Il legame utente - Ruolo (UAR - User Access Review)
  • Il contenuto dei ruoli - Role Review
  • I rischi presenti per ogni utente (SoD Review)

 

10 Adatta la matrice SoD per i processi SAP S/4HANA

Hai effettuato la migrazione da SAP ECC a SAP S/4HANA?

 

Ricordati che in base all'utilizzo che ne fai devono o meno essere adattate le transazioni o applicazioni usate. Di conseguenza anche la matrice dei rischi deve essere adattata.

 

Topics: sod, SAP GRC, identity management system, HANA Security

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti