Esistono molte società che fanno consulenza SAP. Ognuna di queste, nella maggior parte dei casi, fornisce anche un supporto nell'area security SAP.
È assolutamente normale. Ma qual è il grado di competenza su queste tematiche?
Cosa accade di frequente in questi casi:
- Spesso sono persone improvvisate ad occuparsi di questa area
- Devono essere affrontate anche queste tematiche all'interno di un progetto più ampio ma sono le meno presidiate ed importanti
- Se si arriva lunghi sul progetto e si rischia di partire senza profilazione SAP
- La struttura tecnica delle autorizzazioni si rivela fallimentare e difficile da mantenere nel tempo
- Gli sviluppi custom effettuati non hanno le minime basi security (non vengono applicate le regole di sviluppo sicuro del software)
Perché a volte sono coinvolte le persone meno adeguate?
Profilare le utenze era (e in parte lo è ancora) considerato un compito dei tecnici (sistemisti). Prima di coinvolgere i tecnici, però, deve essere fatta un’analisi organizzativa coinvolgendo tutti gli attori principali dell’azienda al fine di determinare “chi fa cosa”. Ancora oggi questa parte fondamentale spesso viene affidata completamente ai sistemisti.
La figura del SAP security manager (o consulenti Security SAP) oggi deve avere diverse anime:
- conoscenze tecniche Security SAP, non solo la profilazione SAP quindi. Ma anche tematiche di sicurezza dei dati, governance, segregation of duties
- conoscenze seppur di base legali, Dlgs. 231/2001, Legge 262/2005, Dlgs. 101/2018 (GDPR)
- doti comunicative. Il tradurre i tecnicismi per i non addetti ai lavori diventa fondamentale nel momento di training formazione e security awareness
Cosa significa essere specializzati nell'area Security SAP?
La profilazione è solo l’aspetto tecnologico del problema. Prima di capire come deve essere profilato un utente, è necessario integrare il punto di vista dell’ufficio del personale, quello dei referenti del business e dei responsabili dei processi aziendali. Molto frequentemente la profilazione e la security SAP più in generale sono affrontate esclusivamente come un aspetto tecnico.
Ancora di più oggi nel caso si debbano affrontare tematiche di separazione dei compiti (Segregation Of Duties) o protezione dei dati personali (GDPR).
Sono diversi gli elementi che possono comporre un a gestione della security SAP a tutto tondo. Ad esempio:
- Procedure/Policy
- Documentazione del modello autorizzativo
- Formazione e consapevolezza (security awareness)
- Conoscenza delle best practices suggerite da SAP
- Conoscenza dei processi aziendali
- Conoscenza delle normative di riferimento per l’azienda
Quali i suggerimenti per scegliere?
- La società ha certificazioni?
- Specifiche in ambito security SAP? (sia a livello del personale sia a livello della società)
- Certificazioni ISO
- La società si occupa in maniera verticale delle tematiche Security SAP?
- Quali sono le percentuali di fatturato per consulenza SAP Security o SAP auditing rispetto al totale?
- Quali sono le referenze sulle tematiche di sicurezza dei dati?
- Qual è l'anzianità della società e da quanti anni si occupa delle tematiche di protezione dei dati aziendali?
Come Aglea ti può aiutare?
Per diversi fattori, per primo l’esperienza. Abbiamo fatto “partire” diverse decine di migliaia di utenti con la loro profilazione.
In secondo luogo aver puntato tutto su un unico argomento di nicchia, ci rende particolarmente credibili. Molto spesso i “big” system integrator sono stupiti quando vedono che le principali aziende italiane hanno scelto noi e non loro per gestire quest’ argomento. Sembra un’anomalia.
Quando si deve fare un’operazione molto delicata al ginocchio, si cerca di andare da un medico iper-specializzato.
Siamo l’unica azienda italiana che si occupa, come unico core business, di sicurezza in ambiente SAP, dal 2003. Infine, abbiamo lavorato moltissimo sugli strumenti.
Utilizziamo un apposito software (Security Analyzer SA) che permette di rivoluzionare l’approccio e i tempi dei progetti.
P.S.: i tuoi fornitori sono certificati? Leggi qui le nostre certificazioni.