Ma i sono dell'IT quindi devo avere SAP_ALL! Mi è capitato di sentire parecchie volte nel corso del tempo questa affermazione.
Ma è davvero così? Quando serve profilare il personale ICT e quando invece no? Quali i suggerimenti nel caso devi farlo?
Uno degli aspetti che riguarda la definizione di un modello autorizzativo è quello di capire come gestire alcune tipologie di utenti.
Infatti normalmente viene dato maggiore rilievo agli utenti finali, di business. Gli utenti "tecnici" (non in senso stretto come le utenze di interfaccia ad esempio) ovvero chi si occupa di IT o ICT ma anche i consulenti esterni spesso sono lasciati in secondo piano.
Con il rischio appunto di mantenere profilazioni non adeguate o peggio SAP_ALL.
Sono solo alcune delle preoccupazioni che possono nascere da quando si inizia a parlare dell'argomento. Per utenti interni o esterni. Anche se nel caso degli esterni chiaramente sono meno sentiti questi aspetti dato che sono le regole del cliente a decidere cosa e come devono essere svolte le operazioni.
Sono in generale preoccupazioni lecite. Infatti si è spesso portati a pensare che il passaggio sia SAP_ALL verso zero abilitazioni o abilitazioni utente. In realtà non è così.
Infatti è possibile creare un insieme di ruoli (con abilitazioni non certo limitate, ma questo dipende dove ci si vuole posizionare) che permetta di operare nella maggior parte delle situazioni esattamente come prima.
Facciamo qualche esempio
Credo sia davvero difficile, in via generale, rispondere in maniera affermativa alle domande sopra.
Attenzione, ci possono essere anche dei casi dove la risposta è certamente sì. Immagino ad esempio i casi dove l'IT corrisponde a tutto. Ovvero dove esiste davvero una sola persona che fa un po' tutto. Dal supporto applicativo, al sistemista, alla gestione della sicurezza dei sistemi etcc..
Ma in questo ultimo caso interviene anche una ulteriore precisazione. Un conto è separare le abilitazioni sulle varie utenze un altro è separare i ruoli.
Infatti normalmente vengono creati dei ruoli separati per competenza, sta poi alla realtà aziendale decidere se un utente li debba avere tutti. L'importante è avere e definire una predisposizione che permetta anche in un secondo momento di essere pronti ad avere dei ruoli IT/Consulenti già pronti ed identificati.
In generale, specialmente per le società quotate in borsa, esistono dei controlli più rigorosi, ne abbiamo già parlato in diverse occasioni.
Un caso eclatante è quello del personale IT che può modificare scritture contabili in maniera arbitraria. Stiamo certo parlando di attività dolose (anche se potrebbe capitare per sbaglio). Ma possibili.
Mi è capitato di assistere in maniera del tutto non volontaria alla cancellazione della tabella MARA in produzione
Quindi non serve dover essere quotati per applicare qualche minima regola di controllo.
In generale esistono diversi approcci alla tematica. Aziende dove in produzione i consulenti esterni non sono abilitati, se non seguendo processi specifici, ad esempio attraverso l'uso di utenze speciali.
Altri casi dove invece sia esterni sia interni chiaramente accedono al sistema produttivo. Ma con diversi gradi di libertà.
Ma non tutte le società sono uguali e non è possibile applicare il medesimo concetto. Quasi sempre deve essere adeguato, decidendo assieme dove posizionare l'asticella.
Vuoi sapere cosa facciamo in queste situazioni? Contattaci per scoprirlo!