In SAP Italia durante un incontro riservato ai partner per condividere, confrontarsi e discutere delle soluzioni SAP a supporto del CFO.
Ma cosa significa "Intelligent digital trust" e "Intelligent Objective Management"? Quali sono i prodotti che SAP offre per far diventare intelligente una impresa?
Ne abbiamo parlato una giornata intera in SAP Italia a Vimercate.
Perché questa giornata?
Per condividere la filosofia dei prodotti SAP e vederli in azione in anteprima, portando dubbi, domande e generando dei momenti di confronto. Scoprire le nuove funzionalità che saranno rilasciate o che sono in corso di sviluppo.
Una chiacchierata portando anche le esperienze, richieste dei clienti.
Un modo per vedere e trasmettere l'approccio di SAP che una impresa dovrebbe avere ovvero tramite l'Intelligent Objective Management e l'Intelligent digital trust.
In altre parole, i processi che permetto ad attori differenti all'interno dell'azienda di orchestrare al meglio le proprie direttive per proteggere, controllare e governare meglio gli asset aziendali in funzione degli obiettivi dell'impresa.
Intelligent Objective Management
Come proteggi il valore della tua azienda? Quali sono i dati da proteggere in SAP? Quale valore viene trasmesso ad eventuali azionisti?
L'azienda definisce la strategia, attraverso gli obiettivi. La gestione dei processi aziendali influisce sul raggiungimento di questi obiettivi e piani strategici.
Per questo motivo SAP offre degli strumenti che possono in maniera completa (end-to-end) supportare le scelte aziendali in ottica di protezione dei dati e quindi del patrimonio aziendale. Utili al board a Chief Risk Officer (CRO), Audit & Compliance
Intelligent digital trust
Vuoi essere in una società che:
- conosce quali sono i rischi potenziali ed è in grado di identificare se è avvenuta una violazione di accesso ai dati?
- non sa nemmeno se c'è già stata una violazione?
Le tematiche di Cyber Security, protezione delle informazioni sono processi che devono essere presenti e presidiati in azienda per poter raggiungere gli obiettivi definiti. Fondamentali per le figure del CIO, CISO e CTO
Come ottenere quanto sopra, attraverso il paradigma delle tre linee di difesa.
Le tre linee di difesa (Three lines of defense)
Ecco quali sono:
- Operational Management
- Risk Management and Compliance Functions
- Internal Audit
Ma cosa significa?
- Effettuare delle analisi del rischio, in senso generale del termine. Non solo quindi rischi di accesso ma anche qualsiasi altra tipologia di rischio. Identificare dei controlli mappando quindi i rischi e controlli sui processi. Automatizzando la gestione dei controlli per quanto più possibile. Quali sistemi quindi? SAP GRC Process Control, Risk Management
- La seconda linea di difesa riguarda gli aspetti di verifica dell'efficacia dei controlli definiti oltre a supportare la prima linea nella definizione dei controlli, sistemi di GRC Access Control o altri strumenti per la gestione della sicurezza e governance
- L'audit interno come compito di controllo ed assicurazione che il modello implementato funzioni correttamente, sistemi di SAP Fraud Management/Audit Management o Business Integration Screening nella nomenclatura più recente.
Vedi anche approfondimento metodologico qui.
Ma con quali strumenti?
È strategico ragionare su processi end-to-end per quanto più possibile. Quindi non fermarsi al solo disegno dei rischi ma anche agli aspetti di automatizzazione dei controlli.
Non è necessario fare tutto subito, anche perché potrebbe essere molto complesso, nella maggior parte dei casi non tecnicamente ma a livello organizzativo.
Per questo motivo SAP ha progettato diversi strumenti che possono essere utilizzati in modalità stand-alone oppure, in un sistema più maturo e completo assieme.
Avere una visione globale delle potenzialità degli strumenti permette di disegnare la road map di adozione di questi ultimi. Ponderando anche le difficoltà/criticità da tenere in considerazione, spesso gli aspetti organizzativi aziendali rappresentano gli ostacoli maggiori in azienda.
Come partire quindi?
A nostro avviso e per quello che ci caratterizza il percorso da seguire potrebbe essere il seguente:
- Definisci un modello di accessi che permetta il controllo e governo di chi fa che cosa. Coinvolgendo per quanto più possibile il business, anche attraverso l'uso di strumenti come l'Access Control, SAP Identity Management, Code Vulnerability Analysis SAP Field Masking i primi tre fondamentali l'ultimo da valutare a seguito dei dati da gestire
- Definisci quali sono i tuoi controlli aziendali (qualsiasi controllo, non solamente quelli legati alla gestione degli accessi) tramite il GRC Process Control
- Occupati di controllare se tutto funziona come deve. Ovvero utilizza e sfrutta strumenti come SAP Enterprise Threat Detection per collegare i log e definire dei pattern di criticità da sottoporre tramite alert o anche SAP Business Integrity Screening (Fraud Management) ed SAP Audit Management per abbandonare mail ed excel durante gli audit periodici da fare in azienda