Hai definito la documentazione SAP Security? Come viene gestita in azienda?
Cosa significa documentare il concetto autorizzativo SAP? Come conviene documentare la security SAP?
Diverse sono le ragioni, vediamone alcune qui di seguito.
Possiamo raggruppare la documentazione in due macro categorie:
In questo ultimo caso (punto2) la documentazione ha una funzionalità più di governance e controllo del modello. Se utilizzata in modo appropriato e leggibile da parte degli interessati. Normalmente tramite foglio elettronico (es. Excel)
Un aspetto di cui tenere conto è dove e come viene archiviata la documentazione.
Uno degli aspetti più sottovalutati, quando è comunque presente la documentazione, è proprio il mantenimento. Spesso infatti, nei casi dove è stata realizzata (a volte non esiste proprio nulla), dopo il primo rilascio non viene più mantenuta.
La documentazione del modello autorizzativo dovrebbe avere poche revisioni nel tempo. Il contrario potrebbe far pensare ad un modello adottato poco adatto o poco maturo.
Mente la documentazione di governance ha una vita minore, in termini temporali, ogni giorno (in base anche ai volumi) infatti vengono apportate modifiche al sistema. Su ruoli o utenti o legame ruolo-utente.
Quanto questa documentazione viene utilizzata e distribuita internamente per essere un veicolo di governance es accountability dei dati aziendali?
Documenta come è stato realizzato il concetto autorizzativo oppure viene utilizzata per UAR (processi di ri-validazione User Access Review) o altro?
La documentazione di controllo è utile anche per verificare se ci sono difformità al modello.
Il tuo modello autorizzativo ti permette di fare questo genere di controlli?
Qual è il senso di replicare manualmente su un excel quello che c'è già a sistema? Quali sono i rischi?
Può essere sicuramente utile produrre in un formato uniforme e condiviso questo genere di documentazione (con frequenza periodica), che sia esportato da SAP tramite programmi o query oppure fatto con un tool security ad hoc (qui un esempio) dove tutta una serie di controlli è già definita nello strumento.
Ha senso costruire manualmente o in SAP tutti i controlli quando esiste già uno strumento per svolgere tutte queste verifiche?