3 suggerimenti su come affrontare l'attività di remediation dei rischi SoD (Segregation Of Duties) dopo aver effettuato una Risk Analysis.
Da dove conviene partire? Come ragionare? Quali i punti di attenzione?
Una volta che la matrice dei rischi è stata definita, non è "oro colato" per sempre. Può capitare di doverla affinare nel corso del progetto o processo SoD.
Un aspetto importante è ad esempio quello legato alla gestione delle "permission". Ovvero che nella fase di risk analysis (leggi qui come eseguire una risk analysis con SAP GRC) il sistema utilizzato tega conto delle autorizzazioni e non solo delle transazioni per evitare dei falsi positivi.
Ad esempio, delle transazioni assegnate in sola lettura e quindi prese in esame da sole potrebbero portare a far credere alla presenza di un rischio che nella realtà non esiste in quanto l'utente abilitato può esclusivamente vedere dati ma non modificare (un caso di esempio è quello della transazione MIGO per effettuare le entrate merci).
Purtroppo, in SAP non esiste una transazione di sola visualizzazione in questi casi e quindi è necessario controllare bene gli oggetti autorizzativi assegnati alle utenze per determinate se questa transazione sia in scrittura o sola lettura.
Esistono in SAP ruoli o profili che sono molto ampi. Solitamente viene suggerito di rimuoverli dalla risk analysis per fare in modo che il risultato sia più gestibile.
Attenzione. La rimozione non significa non gestione. Sostanzialmente serve censire questi ruoli e profili "critici" garantendo che siano assegnati solo a chi li deve avere.
In effetti se questi ruoli o profili abilitano a tutti o quasi tutti i rischi definiti nella matrice qual è il senso di effettuare questo calcolo quando sappiamo già a priori il risultato?
Pur essendo la parte più importante quella delle utenze, il processo e l'ordine di remediation suggerito è quello dei ruoli ovvero.
È possibile invertire o usare un altro ordine? Certamente è possibile farlo ma attenzione potrebbe comportare un maggiore effort!