AGLEA SAP Security Blog

Conformità aziendale in SAP

Scritto da Massimo Manara | Nov 23, 2021 11:00:00 PM

Possono esserci parecchie motivazioni legate a questo termine e nel contesto SAP.

 

 

In questo caso facciamo riferimento alla gestione della separazione dei compiti (SoD) ed ai controlli mitigativi legati agli accessi.

Quali le normative di riferimento?

Ogni società può avere delle normative o framework di riferimento in base al settore in cui opera. Alcune di queste si applicano indipendentemente dal settore, ad esempio, per il fatto di essere quotati in borsa. Ed anche in questo ultimo caso dipende da quale.

 

Guarda qui il video sull'argomento e l'approfondimento di questo post: Quotazione in borsa? Ecco cosa fare in SAP!

 

 

Oppure normative specifiche di settore come le GxP leggi qui il post dedicato 

 

Il processo di gestione della Segregation Of Duties

In generale sono parecchie le normative, nazionali o internazionali e gli standard di riferimento che richiedono di adottare delle politiche di separazione dei compiti aziendali.

 

A questo link trovi il nostro approfondimento sulla gestione della SoD e dei rischi aziendali che comporta se non applicata nel contesto specifico di SAP (ma che può essere applicato a qualsiasi altro scenario analogo).

 

I controlli mitigativi

Come avrai letto nel collegamento sopra indicato, una delle fasi, per la gestione della Segregation Of Duties è quella di gestire i controlli mitigativi. Guarda anche qui il video sulla parte di Remediation e Mitigation.

 

 

Ovvero nei casi dove non è possibile rimuovere i rischi è necessario sviluppare dei meccanismi di controllo.

 

I controlli mitigativi legati alla gestione degli accessi, sono parte del sistema di Internal Control System (ICS), più in generale.

 

Ovvero l'insieme di tutti i controlli aziendali che vengono svolti (non necessariamente legati solamente alla gestione degli accessi). Leggi questo contenuto su come impostare un modello di controlli interni aziendali.

 

I controlli mitigativi in SAP

Uno degli aspetti sottovalutati è proprio questa fase, in maniera specifica per SAP. Non sempre esistono infatti dei report specifici, già pronti, da poter utilizzare così come sono.

 

SAP offre molte reportistiche sono tracciate molte attività svolte a sistema, per poter svolgere dei controlli preventive o detective (ma SAP traccia tutto?)

 

Ma spesso serve sviluppare dei controlli propri. Andando ad implementare dei programmi di controlli specifici.

 

Questa parte può diventare (questo dipende molto anche dal tipo di controlli che si vuole sviluppare e dal grado di automatizzazione) molto onerosa in termini di analisi e sviluppi.

 

Per questo motivo esistono strumenti, sul mercato, che possono essere utilizzare per questo scopo. Per avere dei controlli già pronti o per semplificare la creazione/fruizione.

 

Vediamo l'esempio del prodotto Security Weaver e della sua specifica funzionalità chiamata Automated Mitigations.

 

Guarda qui anche la presentazione del software!

 

 

Si tratta di un prodotto molto simile al SAP GRC Access Control, di fatto copre le medesime funzionalità, i moduli principali sono i seguenti, oltre all'automated Mitigations, non incluso nella suite SAP GRC Access Control.

 

  • Authorization Architect, per velocizzare ed ottimizzare la manutenzione dei ruoli SAP o il ridisegno dei ruoli
  • Emergency Repair, per gestione di utenze di emergenza (super user)
  • Role Recertification, per definire un processo di ri-validazione dei ruoli
  • Secure Provisioning, per definire un processo di attribuzione dei ruoli tramite un workflow
  • Separations Enforcer, per la gestione e l'analisi dei rischi SoD

 

Come è possibile vedere nell'immagine seguente una delle funzionalità dell'automated Mitigation è quella di poter definire dei criteri di personalizzazioni e selezione durante la lettura dei dati. 

 

Esempio:

 

Ho un rischio che prevedere la gestione degli ordini di acquisto (Purchase Order) contro la gestione dei fornitori (Vendor). In questo caso posso, una volta selezionata o personalizzata la reportistica di controllo, immagine seguente, andare a verificare a sistema quanto e quante occorrenze si sono realmente verificate.

 

 

Generando quindi delle allerte che, incrociando i dati rilevanti possano far emergere un rischio effettivo, considerando anche delle soglie di materialità. 

 

Nell'immagine seguente è infatti possibile vedere queste alert con il dettaglio di alcuni degli elementi di business esposti.

 

 

Ti interessa approfondire l'argomento? Contattaci qui.