Ma i sono dell'IT quindi devo avere SAP_ALL! Mi è capitato di sentire parecchie volte nel corso del tempo questa affermazione.
Ma è davvero così? Quando serve profilare il personale ICT e quando invece no? Quali i suggerimenti nel caso devi farlo?
Profilazioni SAP per IT o consulenti
Uno degli aspetti che riguarda la definizione di un modello autorizzativo è quello di capire come gestire alcune tipologie di utenti.
Infatti normalmente viene dato maggiore rilievo agli utenti finali, di business. Gli utenti "tecnici" (non in senso stretto come le utenze di interfaccia ad esempio) ovvero chi si occupa di IT o ICT ma anche i consulenti esterni spesso sono lasciati in secondo piano.
Con il rischio appunto di mantenere profilazioni non adeguate o peggio SAP_ALL.
Le principali preoccupazioni
- Ma io so cosa sto facendo, sono un utente esperto di SAP
- Lavoro sui sistemi SAP da più di 15 anni
- Noi dobbiamo fornire supporto, come facciamo a risolvere i problemi se non abbiamo le abilitazioni?
- Per me va bene rimuovere le nostre abilitazioni, ma poi i problemi li risolvete voi quando ci chiamano
- E se devo sbloccare una consegna o un ordine bloccato in emergenza come faccio senza le abilitazioni?
Sono solo alcune delle preoccupazioni che possono nascere da quando si inizia a parlare dell'argomento. Per utenti interni o esterni. Anche se nel caso degli esterni chiaramente sono meno sentiti questi aspetti dato che sono le regole del cliente a decidere cosa e come devono essere svolte le operazioni.
Sono in generale preoccupazioni lecite. Infatti si è spesso portati a pensare che il passaggio sia SAP_ALL verso zero abilitazioni o abilitazioni utente. In realtà non è così.
Infatti è possibile creare un insieme di ruoli (con abilitazioni non certo limitate, ma questo dipende dove ci si vuole posizionare) che permetta di operare nella maggior parte delle situazioni esattamente come prima.
Facciamo qualche esempio
- Ad un consulente funzionale (quindi potrebbe essere una persona IT interna oppure un consulente) serve davvero avere la possibilità di fare le copie mandanti? Oppure di installare delle nuove lingue nel sistema?
- Chi deve realmente essere abilitato alla gestione di utenti e ruoli nel sistema?
- La abilitazioni dei sistemisti (vedi punto 1 sopra) servono davvero a tutti gli utenti IT oppure solo ad alcuni?
- Per un sistemista SAP è davvero necessario avere la possibilità di creare una fattura o registrare un documento contabile?
Credo sia davvero difficile, in via generale, rispondere in maniera affermativa alle domande sopra.
Attenzione, ci possono essere anche dei casi dove la risposta è certamente sì. Immagino ad esempio i casi dove l'IT corrisponde a tutto. Ovvero dove esiste davvero una sola persona che fa un po' tutto. Dal supporto applicativo, al sistemista, alla gestione della sicurezza dei sistemi etcc..
Ma in questo ultimo caso interviene anche una ulteriore precisazione. Un conto è separare le abilitazioni sulle varie utenze un altro è separare i ruoli.
Infatti normalmente vengono creati dei ruoli separati per competenza, sta poi alla realtà aziendale decidere se un utente li debba avere tutti. L'importante è avere e definire una predisposizione che permetta anche in un secondo momento di essere pronti ad avere dei ruoli IT/Consulenti già pronti ed identificati.
Ma per quale motivo può essere considerato rischioso avere profilazioni ampie?
In generale, specialmente per le società quotate in borsa, esistono dei controlli più rigorosi, ne abbiamo già parlato in diverse occasioni.
Un caso eclatante è quello del personale IT che può modificare scritture contabili in maniera arbitraria. Stiamo certo parlando di attività dolose (anche se potrebbe capitare per sbaglio). Ma possibili.
Mi è capitato di assistere in maniera del tutto non volontaria alla cancellazione della tabella MARA in produzione
Quindi non serve dover essere quotati per applicare qualche minima regola di controllo.
In generale esistono diversi approcci alla tematica. Aziende dove in produzione i consulenti esterni non sono abilitati, se non seguendo processi specifici, ad esempio attraverso l'uso di utenze speciali.
- SAP Emergency Access
- Per gestire una super user in SAP serve SAP GRC?
- SAP Emergency Access Management - Audit, cosa guardare?
Altri casi dove invece sia esterni sia interni chiaramente accedono al sistema produttivo. Ma con diversi gradi di libertà.
Ma non tutte le società sono uguali e non è possibile applicare il medesimo concetto. Quasi sempre deve essere adeguato, decidendo assieme dove posizionare l'asticella.
Vuoi sapere cosa facciamo in queste situazioni? Contattaci per scoprirlo!