Hai definito la documentazione SAP Security? Come viene gestita in azienda?
Cosa significa documentare il concetto autorizzativo SAP? Come conviene documentare la security SAP?
Perché è importante documentare il concetto autorizzativo SAP?
Diverse sono le ragioni, vediamone alcune qui di seguito.
- Non può essere nelle mani o nella testa di una singola persona
- Può essere utile per eventuali nuovi colleghi che devono imparare la gestione delle autorizzazioni di SAP
- Può essere utile per finalità di controllo, governance ed auditing dei sistemi SAP
- Può essere utile ai colleghi nel caso ci siano assenze da gestire
- Può essere utile nel caso in cui si decida di esternalizzare il servizio (leggi qui cosa significa AMS SAP Security)
Che tipo di documentazione esiste?
Possiamo raggruppare la documentazione in due macro categorie:
- Documentazione del concerto autorizzativo SAP, ovvero come è stato strutturato e pensato. Ad esempio la naming convention dei ruoli SAP delle utenze, le configurazioni degli oggetti autorizzativi SAP più importanti. Solitamente tramite un documento di testo (es. Word).
- Documentazione dei ruoli/utenti presenti a sistema ovvero:
- Documentazione Ruoli
- Documentazione Utenti
- Documentazione legame Ruolo-Utente
In questo ultimo caso (punto2) la documentazione ha una funzionalità più di governance e controllo del modello. Se utilizzata in modo appropriato e leggibile da parte degli interessati. Normalmente tramite foglio elettronico (es. Excel)
Dove conservi e come la documentazione SAP Security?
Un aspetto di cui tenere conto è dove e come viene archiviata la documentazione.
- Viene tenuta e mantenuta in una singola postazione, in locale (da una persona nella propria postazione?)
- Viene mantenuta centralmente? Sharepoint o simili, le modifiche sono tracciate
- La documentazione è classificata e protetta? Ovvero solo le persone autorizzate possono avere accesso a tale documentazione? Oppure chiunque può accedervi?
- Esiste un concetto di versioning o check-in check-out della documentazione?
Come la mantieni aggiornata?
Uno degli aspetti più sottovalutati, quando è comunque presente la documentazione, è proprio il mantenimento. Spesso infatti, nei casi dove è stata realizzata (a volte non esiste proprio nulla), dopo il primo rilascio non viene più mantenuta.
- Come sono recepite le modifiche effettuate a procedure oppure le modifiche effettuate a sistema?
- Sono aggiornate le documentazioni coerentemente a quanto avviene in azienda?
La documentazione del modello autorizzativo dovrebbe avere poche revisioni nel tempo. Il contrario potrebbe far pensare ad un modello adottato poco adatto o poco maturo.
Mente la documentazione di governance ha una vita minore, in termini temporali, ogni giorno (in base anche ai volumi) infatti vengono apportate modifiche al sistema. Su ruoli o utenti o legame ruolo-utente.
Quanto questa documentazione viene utilizzata e distribuita internamente per essere un veicolo di governance es accountability dei dati aziendali?
Documenta come è stato realizzato il concetto autorizzativo oppure viene utilizzata per UAR (processi di ri-validazione User Access Review) o altro?
Viene fatta direttamente in SAP oppure extra sap?
La documentazione di controllo è utile anche per verificare se ci sono difformità al modello.
Il tuo modello autorizzativo ti permette di fare questo genere di controlli?
Qual è il senso di replicare manualmente su un excel quello che c'è già a sistema? Quali sono i rischi?
- Errori manuali nel foglio excel
- Difficoltà di lettura dei dati (speso i dati sono organizzati in modo non strutturato e di difficile fruizione)
- Dati mancanti o non allineati
- Spesso si fa riferimento al solo file excel quando in realtà i dati a sistema sono diversi
Può essere sicuramente utile produrre in un formato uniforme e condiviso questo genere di documentazione (con frequenza periodica), che sia esportato da SAP tramite programmi o query oppure fatto con un tool security ad hoc (qui un esempio) dove tutta una serie di controlli è già definita nello strumento.
Ha senso costruire manualmente o in SAP tutti i controlli quando esiste già uno strumento per svolgere tutte queste verifiche?