AGLEA SAP Security Blog

Quanti e quali workflow definire in SAP GRC Access Control?

Scritto da Massimo Manara | May 5, 2020 10:00:00 PM

Sono diversi i workflow che lo strumento mette a disposizione.

 

 

Alcuni di questi sono standard e non possono essere modificati, mentre altri lasciano ampio spazio di personalizzazione.

 

Quali sono i punti di attenzione quando si decide quali step e quanti inserire nei vari workflow?

 

Ne parliamo in questo articolo.

Quali sono i workflow standard di SAP GRC Access Control?

Tramite la transazione MSMP Multi Stage Multi Path configuration (Maintain MSMP Workflows) è possibile accedere alla configurazione di tutti i workflow presenti nel SAP GRC Access Control, ecco quali sono:

 

 

  • SAP_GRAC_ACCESS_REQUEST
    • Rappresenta il principale workflow utilizzato nel modulo Access Request Management (ARQ) del SAP GRC. Permette di gestire tutti gli step approvativi durante la creazione, modifica, cancellazione di una o più utenze SAP.
  • SAP_GRAC_ACCESS_REQUEST_HR
    • Come sopra ma quanto viene utilizzata la struttura organizzativa per assegnare ruoli alle posizioni.
  • SAP_GRAC_CONTROL_ASGN
    • Questo workflow permette di gestire le approvazioni da parte del control owner dei controlli mitigativi, durante l'assegnamento ad utenti e ruoli.
  • SAP_GRAC_CONTROL_MAINT
    • Questo workflow permette di gestire le approvazioni da parte del control owner dei controlli mitigativi, per la definizione di nuovi controlli
  • SAP_GRAC_FFID_REVIEW
  • SAP_GRAC_FIREFIGHT_LOG_REPORT
    • Permette di effettuare una approvazione da parte dell'owner delle super utenze dei log prodotti dalle super-utenze (Firefighter) a lui riferite, usando il componente Emergency Access Management
  • SAP_GRAC_FUNC_APPR
    • Permette di effettuare le approvazioni delle modifiche alle function (della matrice dei rischi SoD), usando il componente Access Risk Analysis
  • SAP_GRAC_RISK_APPR
    • Permette di effettuare le approvazioni delle modifiche ai rischi (della matrice dei rischi SoD), usando il componente Access Risk Analysis
  • SAP_GRAC_ROLE_APPR
    • Permette di effettuare le approvazioni durante la creazione o modifica dei ruoli (usando il componente Business Role Management)
  • SAP_GRAC_SOD_RISK_REVIEW
    • Permette di effettuare una ri-validazione dei rischi SoD presenti su ogni Risk Owner
  • SAP_GRAC_USER_ACCESS_REVIEW
    • Permette di effettuare una ri-validazione del legame utenti/ruoli per ogni Role Owner o Manager

 

Access Request Workflow quanti step approvativi?

Sicuramente il workflow o Process ID più personalizzabile è quello delle Access Request.

Questo workflow permette di definire, nel caso in cui siano create o modificate delle utenze, i passaggi approvativi che deve subire la richiesta.

 

Esiste un workflow standard che prevedere i seguenti tre step approvativi:

  • Manager
  • Role Owner
  • Security

 

Si tratta di una base pronta all'uso che ben si adatta a tutto le società. Ammesso che sia possibile far leggere i Manager al sistema SAP GRC (da LDAP o HR) e che siano definiti per ogni ruolo i relativi Role Owner, figura essenziale per questo genere di processi.

 

Ogni passaggio del workflow può essere ulteriormente personalizzato in termini di interfaccia utente.

 

Esiste infatti una funzionalità chiamata EUP (End User Personalization) che permette di definire quali campi siano visibili/modificabili per ogni approvatore.

 

Ad esempio il Manager potrà vedere solo i campi strettamente necessari, mentre l'ultimo attore del workflow, Security vedrà ad esempio anche campi più tecnici.

 

Ma quali considerazioni possono essere fatte? Quali sono i punti di attenzione?

 

  1. Non definire troppi passaggi approvativi. Spesso le richieste, anche se con step approvativi minimali, richiedono alcuni giorni per essere approvate. Aumentando il numero di approvatori è possibile che le richieste si allunghino di molto in termini di tempo.
  2. Identificare bene le responsabilità di chi fa cosa ed in che modo. Soprattutto nel caso degli Owner (Rischi, Manager, forse questo è l'owner più semplice da identificare, e Role Owner) leggi qui l'approfondimento. Questo può rappresentare una delle maggiori difficoltà
  3. Valutare l'introduzione di una figura per il controllo della SoD in maniera preventive (nel caso in cui ci sia almeno un rischio SoD attivo, allora il workitem andrà ad una figura)

 

Ma quando valutare la gestione dei workflow?

Sebbene il modulo dell'Access Request Management possa essere attivato in qualsiasi momento, è utile ricordarsi alcuni aspetti importanti a mio avviso.

 

  • L'introduzione di questo componente comporta l'attivazione dei workflow approvativi. Se nella tua organizzazione non esisteva già uno strumento formale di gestione delle richieste può essere vissuto come un allungamento in termini di tempi del processo di modifica o creazione dell'utenze. Abituati ad avere dei processi approvativi (anche via mail) prima dell'introduzione dello strumento
  • Chi deve aprire le richieste? Tutti gli utenti in azienda o solo alcuni "focal point"? A mio avviso la seconda opzione è sicuramente la migliore per evitare di fare formazione a chiunque e per fare un primo filtro alla creazione di richieste
  • Quanto conta, per chi sceglie, la leggibilità dei ruoli caricati nello strumento? È fondamentale, se chi deve creare le richieste non sa quali ruoli scegliere diventa uno strumento quasi inutile o che genera "rumore" senza produrre benefici, in quanto sarà sempre coinvolto l'IT per spiegare o interpretare le richieste. L'introduzione di questi strumenti può comportare la revisione del modello autorizzativo attualmente definito in azienda.