La gestione delle risorse umane e l'organizzazione hanno un ruolo fondamentale nella gestione di alcuni degli aspetti legati alla sicurezza delle informazioni.
Anche in SAP questo è fondamentale sotto diversi aspetti. Di gestione dei processi aziendali e di gestione del ciclo di vita delle utenze.
In passato era un tabù parlare durante un incontro con l'IT di come avere dei dati gestiti dalle risorse umane. Non sto parlando di dati "sensibili", ma di informazioni, in alcuni casi "pubbliche", all'interno dell'azienda, ad esempio chi è il tuo manager.
Ancora oggi in alcune realtà è così (fortunatamente non in tutte). Le informazioni legate alle nuove assunzioni oppure alle cessazioni oppure i cambi di mansione sono ancora trasferite con il contagocce e basate su processi non strutturati, ad esempio via mail.
La mancata condivisione delle informazioni legate al ciclo di vita dei dipendenti/utenze e quindi delle loro utenze, ad esempio:
comportano delle difficoltà oggettive nella gestione delle utenze. Soprattutto quando i sistemi sono svariati. Anche in realtà "piccole" possono essere decine, leggi qui perché è importante valutare un sistema di gestione delle identità (Identity Management).
Non solo per i dipendenti ma anche per i collaboratori. Se tutto è legato al sistema di HR, come dovrebbe essere, anche esterni o collaboratori (che necessitano di accessi) dovrebbero essere censiti. Per ognuno di loro dovrebbe esistere un contratto/ordine che permetta di giustificare la loro presenza e soprattutto regolamentarne azioni e validità. Ed anche uno sponsor o referente aziendale (come se fosse il manager nel caso dei dipendenti).
Comportata un extra-effort per il dipartimento HR. Sì, anche in base ai volumi degli esterni da "gestire" questo può comportare sicuramente un lavoro aggiuntivo. Ma è a mio avviso necessario per avere sotto controllo cosa accade nei propri sistemi. Almeno per quanto riguarda la gestione delle utenze.
Cosa puoi fare?
Non solo sugli aspetti del ciclo di vita delle utenze ma anche rispetto alla mappatura dei processi aziendali.
Quanto è importante averla e mantenerla nel tempo? A mio avviso fondamentale. Tuttavia poche società ancora oggi non contemplano i vantaggi di avere una mappatura dei processi aziendali e di averla aggiornata.
Ad esempio:
Il primo punto non è da sottovalutare. In quanto in diverse situazioni si tende ad agire bottom-up rispetto ad un approccio top-down.
Cosa intendo dire? Quando alla domanda, ma come funziona il vostro processo? Non ci sono risposte oppure si avvia un racconto basato su tradizioni orali.
A quel punto si cercano strumenti per agire bottom-up e capire come funziona il proprio process attualmente. Andando poi a correggere o scoprendo situazioni non previste. Nel caso di SAP attraverso strumenti come SAP Process Mining by Celonis.
Non sono ovviamente contro questo approccio, in realtà complesse è difficile avere tutto sotto controllo. Tuttavia, a mio avviso, sarebbe ideale avere una propria mappatura e capire quanto essa è difforme, anche attraverso gli strumenti sopra.
Affinché possa davvero avvenire una trasformazione digitale (Digital Transformation) su queste tematiche deve esserci una forte collaborazione ed integrazione tra questi dipartimenti.