Esistono diverse termologie per definire il processo di gestione delle emergenze in SAP. Ad esempio "Superutenze" o "Firefighter" o "Privilege user"
Ma cosa significa gestire un processo di accessi in emergenza in SAP? Perché farlo?
SAP Firefighter cosa significa?
Può essere normale nel ciclo di vita di un sistema di dover effettuare delle operazioni che vanno al di fuori dei propri "compiti" quotidiani.
Questo può essere molto più vero nel caso degli utenti che forniscono supporto. Ad esempio, quelli del reparto ICT aziendale o anche consulenti esterni che svolgono un progetto o supporto costante in outsourcing.
Per comprendere ancora meglio, proviamo a fare dei casi reali e concreti.
- È corretto che un utente dell'IT vada a modificare dei documenti contabili?
- È corretto che un consulente esterno debba rettificare dei movimenti inventariali?
Sono solo un paio di esempi, che sicuramente potrebbero anche rappresentare delle situazioni del tutto lecite. Tuttavia, potrebbero anche essere fonte di possibili frodi. Ed è proprio questo il motivo per il quale è necessario avere un processo definito e controllato di queste casistiche.
Infatti, chi fornisce supporto, solitamente ha molte più autorizzazioni ed abilitazioni rispetto agli utenti "normale" per questo motivo potrebbe, potenzialmente, effettuare delle operazioni non lecite.
Per le finalità di bilancio (in particolare durante le valutazioni ai fini della revisione di bilancio) questo aspetto può diventare particolarmente rilevante.
Non è così raro, infatti, che il revisore oppure il controllo interno aziendale chieda di giustificare eventuali casi di questo tipo rilevati dai log di SAP.
Come attivare un firefighter SAP?
Non esiste una soluzione "nativa" o meglio esistono degli strumenti a pagamento SAP e di mercato che permettono di migliorare quello che potrebbe essere un processo manuale.
Infatti, in generale, dovrei fare in modo che nessun utente possa, ad esempio, avere possibilità di svolgere un debug in modifica del sistema.
Tuttavia, in alcune situazioni potrebbe essere necessario farlo e quindi che fare?
Non sempre qualcosa di critico deve essere inibito a prescindere. Ma deve essere controllato e presidiato. Quindi anche il processo che viene definito deve rispondere a diversi requisiti e svolgere queste operazioni manualmente può essere fattibile in alcuni contesti ma non in altri, specialmente con volumi rilevanti di utenze/richieste.
Quali le modalità di utilizzo delle super utenze?
Esistono diversi modi:
- Manuale. Effettuo una richiesta (via mail/ticket), e viene rilasciato un accesso o utenza che dovrà poi essere rimossa (da definire in quali termini e modi) e qualcuno dovrà poi verificare ciò che è stato fatto
- Automatico via strumenti SAP ad esempio:
- SAP GRC Access Control modulo Emergency Access Management (EAM)
- SAP IAG Identity Access Governance modulo Privilege Access Management (PAM)
- Automatico via strumenti di mercato
- Pathlock
- Xiting
- SecurityBridge
- Soterion
- ERP Maestro
Ogni modalità sopra ha dei punti di attenzione e non in tutti i casi la soluzione più semplice è quella manuale. Sono infatti diversi i fattori di cui tenere conto, compresa anche, non ultima la profilazione delle utenze di emergenza (che non dovrebbe il profilo SAP_ALL).
Contattaci se vuoi confrontarti per capire cosa abbiamo fatto in parecchie realtà sul tema!
