AGLEA SAP Security Blog

Onboarding security

Scritto da Massimo Manara | Feb 1, 2022 11:00:00 PM

Cosa significa il processo di onboarding e perché può essere importante anche nella gestione dei processi security SAP?

 

Quanto l'essere "istruiti" da subito su queste tematiche può aiutare nel corso del tempo trascorso in azienda?

 

Cosa significa Onboarding?

È il processo che ogni azienda svolge quando un nuovo assunto entra in azienda. Esistono molti modi diversi di farlo. Nella mia esperienza ne ho visti parecchi da:

  • Chi non fa quasi nulla, lasciando "l'onere ai colleghi volontari"
  • Da chi fa dei corsi introduttivi sulla società in generale (es. cosa produciamo, come, un tour degli uffici o stabilimenti)
  • Da chi oltre a fare una o più sessioni svolge anche formazione specifica su processi e procedure anche a livello di sicurezza dei dati aziendali (all'inizio e nel corso del tempo)

 

Credo che sia particolarmente importante in questa fase vedere, in aggiunta ad un tour dell'azienda, quegli aspetti che formano di fatto i processi di gestione delle informazioni aziendali dal punto di vista della protezione dei dati. 

 

È comune, infatti, essere sommersi da procedure, processi, prettamente legati al business di turno, senza tuttavia discutere degli aspetti legati a come trattare le informazioni aziendali.

 

Ricorda che alcuni tipi di formazione potrebbero essere soggetti a vantaggi fiscali da parte dell'azienda.

 

Quali i temi importanti?

Chiaramente non tutte le persone in azienda possono essere in contatto con gli strumenti informatici, ma sono sempre meno. Ed in ogni caso è comunque, a mio avviso, importante fare questo genere di formazione anche per chi non è strettamente soggetto all'uso di questi strumenti.

 

  • L'utilizzo della posta elettronica
    • Come usarla e quali sono i principali pericoli (es. Phishing) 
  • Le politiche di aggiornamento dei PC
  • Gli standard e le policy aziendali (es. cosa fare in caso di furto dei device? Come comportarsi sui social media?)
  • Come funzionano le procedure di richiesta abilitazioni o riverifica periodica delle abilitazioni
  • Quali sono le procedure legate alla gestione delle credenziali aziendali
  • Come funziona l'accesso dall'esterno? Quando non si è in sede (es. Smartworking)?
  • Nel caso ci siano collaboratori esterni, quali sono le procedure per permettere l'accesso?

 

Non serve entrare nei dettagli ma definire anche indicativamente cosa fare, come comportarsi e quali sono le linee guida aziendali. Sempre in ottica e valorizzazione delle tematiche di protezione dei dati aziendali.

 

Noi come Aglea abbiamo creato una pagina specifica usando Microsoft Sway di Onboarding con le informazioni sopra, aggiungendo anche altre tematiche, ed inserendo anche dei quiz. Questi sono poi ripresi nel corso del tempo.

 

Onboarding in SAP?

Si può scendere un po' più nel dettaglio per quanto riguarda SAP, spesso sono concetti che valgono chiaramente anche per altri applicativi aziendali.

 

In questo caso potrebbe essere utile ricordare almeno le seguenti tematiche:

  • Quali sono le politiche di autenticazione, ovvero: "come si accede ai sistemi"? Esiste un servizio di Single Sing On aziendale oppure si lavora ancora con le password nei vari sistemi? O password manager? Oppure scenari ibridi?

  • Cosa fare quando un collaboratore ha bisogno di accessi specifici?

  • Quali sono gli ambienti che si hanno a disposizione?

  • Quali informazioni sono critiche e come devono essere gestite/scambiate?

  • Esistono dei vincoli sull'attribuzione di determinate funzionalità del sistema? Ad esempio, per separazione dei compiti (SoD - Segregation Of Duties) oppure per funzionalità specifiche da amministratori di sistema

 

E tu hai già pensato a come migliorare questo processo? Pensi ci siano altre attività da svolgere? Scrivi nei commenti!