AGLEA SAP Security Blog

Come coinvolgere chi deve decidere: 3 suggerimenti

Scritto da Massimo Manara | May 9, 2023 10:00:00 PM

Il dipartimento IT deve essere a supporto dei processi di business. Non deve sostituirsi ad esso.

Tuttavia, non è così semplice in alcune situazioni. E spesso quello che accade è che proprio l'IT si assume responsabilità non proprie. Iscriviti al nostro blog se sei interessato ad approfondire!

Chi decide chi fa cosa in azienda?

Ne abbiamo anche parlato in un video specifico sul nostro canale YouTube:

 

 

Alcuni passaggi salienti:

 

  • Il business spesso non conosce determinati tecnicismi, l’HR non è così presente o non vuole esserlo. In alcune realtà, probabilmente per retaggi storici l’HR tende ad essere un modo a parte. Quanto sopra porta quindi a far diventare l’IT l’unico attore decisionale ed a supporto. Mentre nella maggior parte dei casi dovrebbe essere esclusivamente a supporto
  • La definizione quindi del ciclo di vita delle utenze dovrebbe essere quindi dettata dal ciclo di vita del dipendente (o anche esterno meglio se gestito nel sistema HR aziendale), durante le azioni previste dal sistema, tecnicamente assunzione, cessazione o cambio di mansione
  • L’HR (Risorse Umane) oggi, ma anche ieri, rappresentano il punto primario di ingresso, uscita e spostamento delle identità aziendali, ma non solo
  • Il decidere chi fa cosa rimane comunque una scelta aziendale che non può essere delegata all’esterno

 

Ma cosa conviene fare quindi?

Possono essere diversi gli scenari, eccone alcuni, partendo da quello peggiore a quello potenzialmente migliore. Il primo passo è sicuramente capire dove ci si trova.

 

  • Ti trovi in una situazione dove le abilitazioni ed il modello autorizzativo definito sono completi sconosciuti per il business (non parlo a livello tecnico ma a livello più applicativo) e nemmeno ottimizzati dal punto di vista prettamente IT

  • Ti trovi in una situazione dove il modello autorizzativo è definito ma non conosciuto a livello di business

  • Ti trovi in una situazione dove il modello autorizzativo è definito ma non tutti i referenti di business sono coinvolti

  • Ti trovi in una situazione dove il modello autorizzativo è definito, in generale tutti i referenti di business conoscono il modello, ma serve fare un passo in più. Rendere automatica la gestione ed il provisioning delle utenze

 

Un aspetto importante è quello di definire dei ruoli ed ownership chiare, leggi qui un articolo su chi sono gli owner solitamente (Quali sono gli owner nell’area Governance e Security?).

 

Queste considerazioni si applicano potenzialmente a tutti i sistemi SAP, da S/4HANA al resto.

 

A seguito è importante valutare come passare da uno scenario ad un altro. Questi passaggi possono avvenire nel corso del tempo oppure assieme (anche se in questo ultimo caso non è così semplice perché, chiaramente, bisogna cambiare le abitudini collaudate, giuste o sbagliate, adottate fino a quel momento).

 

Ma quali sono i suggerimenti allora?

  1. Effettua un assessment per capire l'attuale configurazione del sistema
  2. Valuta se sia il caso di effettuare una revisione del modello autorizzativo SAP oppure un adattamento
    1. Metodologia, approfondisci qui
    2. Quali sono le metriche di un modello o concetto autorizzativo SAP?
    3. SAP Authorizatioin review chi coinvolgere?
    4. SAP Security da dove iniziare?
    5. Cosa significa SoD (Segregation Of Duties) in SAP?
  3. Valuta
    1. Come approcciare il cambiamento, per area o per sistema 
    2. Quali strumenti adottare a seguito del cambiamento