Quante volte abbiamo sentito in azienda in caso di creazione di una nuova utenza "dammi un collega come riferimento" ovvero nel processo di definizione di una nuova utenza si ragiona più per copia, rispetto al mestiere aziendale.
Ma è corretto questo approccio? Oppure presenta qualche possibile problema?
Quali sono i modi per creare le utenze?
Sono anche in questo caso diverse le opzioni possibili.
- Creo da zero un utente nel proprio sistema o negli n sistemi dove deve essere definito. Attenzione un conto è creare l'anagrafica utente un altro è quello di sapere che abilitazioni assegnare (nel caso di SAP ruoli solitamente)
- Utilizzo un sistema di gestione delle identità aziendali
- Mi faccio dare un riferimento di un collega e vado per copia, appunto
- Altri scenari meno strutturati
Ognuna di queste ha pro e contro. Ma oggi parliamo della copia utente. Viene sempre considerata una "brutta pratica" in quanto a lungo andare porta ad una stratificazione delle abilitazioni ed una perdita del controllo del sistema. Ma è realmente così?
Ma quindi andare per copia è sbagliato?
Negli strumenti di gestione delle identità o nel sistema SAP GRC Access Control stesso esistono delle specifiche funzionalità di partenza per la creazione di una richiesta basate proprio sulla copia utente da.
È sbagliato? No. Trovo sia assolutamente utile e corretto. Se ho un nuovo collega della mia stessa unità perché non potrei dover dire, copiamolo da XY...
Quando a mio avviso questa pratica può portare ad un avvio di percorso critico, e quindi portare "fuori dai binari" un modello? Quando ad esempio la applichi e:
- non hai un processo di ri-validazione utente periodico (es. User Access Review)
- non hai un processo per l'approvazione dei ruoli assegnati alle utenze
Quest'ultimo aspetto è particolarmente importante perché pur partendo dalla copia utente in questi casi, dove il processo di approvazione dei ruoli è attivo, la funzione di copia utente è solo una semplificazione nella costruzione della richiesta.
Una volta avvia la richiesta di copia utente, se l'utente di partenza ha assegnato cinque ruoli, nella nuova richiesta dovranno essere approvati dai rispettivi approvatori/e.
Questo garantisce o dovrebbe limitare la proliferazione delle attribuzioni ruoli per copia. Ed è proprio questo aspetto a fare la differenza. Se copio by default senza pormi nessuna domanda posso finire in un percorso "pericoloso" se copio con i sistemi di controllo attivi sopra, potrebbe essere del tutto lecito ed anche comodo!