AGLEA SAP Security Blog

Le 5 domande ricorrenti nei progetti di SAP Security Governance

Scritto da Massimo Manara | Oct 1, 2019 10:00:00 PM

 

Quali sono le principali domande prima di avviare un progetto di revisione delle autorizzazioni in SAP?

 

 
 
Quali sono i principali punti di attenzione di una SAP Security Review? Come affrontarla e come prepararsi?

  

1. Quanto dobbiamo fare noi?

 

Sicuramente uno degli aspetti più rilevanti è quanto tempo può richiedere e soprattutto quanto di questo tempo è a carico del cliente.

 

È fondamentale sottolineare che il “chi fa cosa” deve stabilirlo il cliente. Il supporto del system integrator deve essere nel descrivere come sarà disegnato il concetto autorizzativo.

 

Ci sono sostanzialmente due punti di partenza:

  • Il foglio bianco
  • Dei template e modelli già pronti

Chiaramente la prima opzione è quella più semplice.

 

Ma comporta uno sforzo di tutte le parti molto elevato. Se hai già tentato di affrontare la problematica sai di cosa parlo.

 

Solitamente, noi, dividiamo il progetto in fasi predefinite. Dei veri e propri Gate. I Gate successivi non possono essere aperti se i precedenti non sono completati.

 

Questa metodologia ci permette di avere un percorso preciso a cui agganciare il template o modello/i di riferimento che saranno la base di partenza per chi deve affrontare una revisione autorizzativa.

 

Interviste e progetti di mesi per capire chi fa cosa? Lascia perdere! Non sprecare il tuo tempo è un metodo che non funziona.

 

Nella migliore delle ipotesi arrivi a capire cosa fanno i tuoi utenti al 30%. Non avendo nemmeno tutti gli ulteriori elementi autorizzativi per effettuare le segregazioni del caso.

 

2. Come facciamo a garantire la continuità di business?

Le autorizzazioni SAP non dovrebbero ostacolare il business.

 

Garantire la continuità di business o limitarla il meno possibile è un aspetto importante. Gli utenti devono continuare a lavorare quanto si effettua il passaggio alle nuove abilitazioni.

Non è semplice essere sicuri di non aver dimenticato nulla.

 

Per questo motivo utilizziamo un software ad hoc, chiamato Security Analyzer, che ha una specifica funziona di “Copertura”.

 

È in grado di stabilire, direttamente in fase di analisi (senza aver costruito nulla a sistema) cosa un utente:

  • perderebbe “MISSING”
  • cosa avrebbe in più “EXTRA”
  • e cosa continuerebbe ad avere “COVERED”.

 

3. Come facciamo a garantire la Segregation Of Duties?

 

È fondamentale durante la revisione delle abilitazioni SAP garantire che i ruoli e le utenze siano esenti da conflitti di interesse. Questo in base alla matrice delle incompatibilità definita dal cliente o dal gruppo (Matrice di Segregation Of Duties).

 

Come fare a farlo senza aver messo nulla a sistema?

 

Anche in questo caso abbiamo pensato che l’unica via fosse dotarci di uno strumento specifico. Il software Security Analyzer è in grado di poter effettuare delle risk analysis su ruoli ed utenti, non ancora definiti a sistema, per simulare gli impatti della Segregation Of Duties.

 

È molto più semplice sistemare prima rispetto a farlo quanto tutto è già definito a sistema.

 

Ti segnalo inoltre che anche il software SAP GRC Access Control, non riuscirebbe al momento a fare questa attività!

 

4. Come sarà il rilascio in produzione?

Anche se hai degli strumenti sofisticati e precisi è sempre utile procedere in modo cautelativo. Soprattutto nei confronti del business.

 

Puoi decidere tu i momenti ideali di quanto fare il passaggio. Avvisando il business naturalmente e decidendo assieme le risorse da migrare.

Tieni conto anche di momenti importanti della società es. canvas, fine anno o altro…

 

Evitiamo quindi, se possibile, approcci a big bang.

 

5. La security SAP finisce con i ruoli?

La sicurezza SAP ha sicuramente una sua parte rilevante con la sicurezza dei ruoli e delle abilitazioni.

 

Non possiamo comunque considerare esaustivo aver affrontato solo questo aspetto.

 

Quali sono allora gli altri elementi da tenere in considerazione?

  • Le linee guida e la documentazione
  • La sensibilizzazione (security awareness) anche con campagne ad hoc
  • Controlli periodici del sistema per la verifica del rispetto delle linee guida definite
  • La sicurezza del codice sviluppato

Non sempre conviene svolgere tutto assieme. Ricordati di fare un piano di adeguamento che includa almeno i punti sopra.

 

Ma se stai implementando oggi SAP? Imposta fin da subito almeno quanto sopra!