Lo scopo della SoD è quello di assicurare che solo le persone con le competenze adeguate possano eseguire delle transazioni sensibili.
Lo scopo, infatti, è quello di spezzare il processo, in modo tale che un utente non rappresenti un rischio di frode (in quanto troppo potente).
Non sempre tutto ciò è di semplice implementazione ed attuazione e questo per molte ragioni organizzative e tecniche.
Per questo motivo abbiamo ideato una metodologia di gestione della SOD che abbiamo chiamato SOD DARE. Di che cosa si tratta?
Progetto di gestione della SoD in azienda? Semplificalo!
Iniziamo dal nome, DARE è un acronimo che comprende quattro step:
Si tratta di una metodologia che abbiamo sviluppato ed affinato dagli anni duemila (prima dell’avvento delle normative specifiche) fino ad oggi.
Ti aiutiamo grazie a dei template già pronti ed acceleratori di progetto a gestire la Segregation of Duties in azienda nelle varie fasi di gestione che essa prevede.
Dalla definizione della matrice di incompatibilità - che spesso non è solo su SAP - all’analisi dei vari sistemi.
Abbiamo creato un nostro strumento di analisi chiamato Security Analyzer che permette di effettuare una analisi di separazione dei compiti in assenza di altri strumenti aziendali.
Il software è in grado di utilizzare una matrice di analisi su SAP (e non) e di fornire dei risultati utili a prendere la decisione per capire se attivare una remediation o mitigation.
Abbiamo inoltre definito un modello, tramite l’utilizzo di software terzi, di identificazione delle transazioni custom che hanno un impatto SoD in maniera semiautomatica. Questo infatti è particolarmente utile per quei clienti che hanno moltissimo custom in uso, spesso non documentato e/o sconosciuto.
Abbiamo definito dei modelli per capire cosa fare nel sistema SAP quando gli utenti hanno dei rischi.
Una delle domande più comuni, durante la fase di remediation, - ovvero quella fase dove devono essere rimossi i rischi, - è quella di capire come rimuovere i rischi senza causare delle ostruzioni al business.
In questa fase, se non si interviene in modo organizzativo, è necessario andare a modificare le abilitazioni degli utenti per rimuovere i rischi ad essi associati.
È molto probabile quindi, per la difficoltà del concetto autorizzativo SAP, causare dei blocchi ai reparti di business.
Utilizziamo degli algoritmi creati ad hoc per effettuare delle simulazioni what-if.
La fase di mitigation, in aggiunta, è una delle fasi più critiche. Abbiamo visto molti progetti di Segregation of Duties terminare con la fase di remediation. Per questo motivo, abbiamo definito una libreria di controlli compensativi già pronti all’uso che possono essere facilmente adottati o adattati caso per caso.
Questo permette di ridurre notevolmente gli sforzi necessari per la definizione dei controlli mitigativi. In aggiunta, per alcuni clienti, forniamo un servizio di mitigation controls.
Cosa significa?
Utilizzando il nostro software, ed avendo definito in precedenza dei controlli template e delle procedure necessarie per testarli, produciamo periodicamente (a seconda della frequenza del controllo) tutte le evidenze dello stesso.
Una volta terminato il progetto, non si conclude il processo di gestione della Segregation of Duties: deve essere portato avanti dalla società.
Per questo motivo, abbiamo definito delle procedure e dei controlli che la società può decidere di utilizzare nella gestione ordinaria delle attività.
Alcuni di questi possono essere facilmente resi operativi tramite l’utilizzo del software Security Analyzer. Questo software permette, infatti, di avere al suo interno una serie di controlli periodici in ottica SoD. Tra questi la funzionalità di rivalidazione periodica delle utenze e dei ruoli tramite una funzionalità di web reporting e worflow approvativi.
Abbiamo inoltre costruito nel nostro software, nel caso in cui non sia presente in azienda proprio software di controllo, una modalità di verifica SoD preventive.
Ovvero ad ogni modifica nel sistema è possibile analizzare in anticipo quali impatti sulla segregation of duties ci saranno.
Leggi la case history di Ariston Thermo per un approfondimento sulla tematica.