SAP GRC & Security Partner Day

Posted by Massimo Manara on Jan 15, 2020 12:00:00 AM

 

In SAP Italia durante un incontro riservato ai partner per condividere, confrontarsi e discutere delle soluzioni SAP a supporto del CFO.

 

SAP GRC Enabler Sales Aglea

 

Ma cosa significa "Intelligent digital trust" e "Intelligent Objective Management"? Quali sono i prodotti che SAP offre per far diventare intelligente una impresa?

 

Ne abbiamo parlato una giornata intera in SAP Italia a Vimercate.

Perché questa giornata?

Per condividere la filosofia dei prodotti SAP e vederli in azione in anteprima, portando dubbi, domande e generando dei momenti di confronto. Scoprire le nuove funzionalità che saranno rilasciate o che sono in corso di sviluppo.

 

Una chiacchierata portando anche le esperienze, richieste dei clienti.

 

Un modo per vedere e trasmettere l'approccio di SAP che una impresa dovrebbe avere ovvero tramite l'Intelligent Objective Management e l'Intelligent digital trust.

 

In altre parole, i processi che permetto ad attori differenti all'interno dell'azienda di orchestrare al meglio le proprie direttive per proteggere, controllare e governare meglio gli asset aziendali in funzione degli obiettivi dell'impresa.

 

Intelligent Objective Management

Come proteggi il valore della tua azienda? Quali sono i dati da proteggere in SAP? Quale valore viene trasmesso ad eventuali azionisti?

L'azienda definisce la strategia, attraverso gli obiettivi. La gestione dei processi aziendali influisce sul raggiungimento di questi obiettivi e piani strategici.

Per questo motivo SAP offre degli strumenti che possono in maniera completa (end-to-end) supportare le scelte aziendali in ottica di protezione dei dati e quindi del patrimonio aziendale. Utili al board a Chief Risk Officer (CRO), Audit & Compliance

 

Intelligent digital trust

Vuoi essere in una società che:

 

  1. conosce quali sono i rischi potenziali ed è in grado di identificare se è avvenuta una violazione di accesso ai dati?
  2. non sa nemmeno se c'è già stata una violazione?

 

Le tematiche di Cyber Security, protezione delle informazioni sono processi che devono essere presenti e presidiati in azienda per poter raggiungere gli obiettivi definiti. Fondamentali per le figure del CIO, CISO e CTO

 

Come ottenere quanto sopra, attraverso il paradigma delle tre linee di difesa.

 

Le tre linee di difesa (Three lines of defense)

Ecco quali sono:

  1. Operational Management
  2. Risk Management and Compliance Functions
  3. Internal Audit

 

Ma cosa significa?

  1. Effettuare delle analisi del rischio, in senso generale del termine. Non solo quindi rischi di accesso ma anche qualsiasi altra tipologia di rischio. Identificare dei controlli mappando quindi i rischi e controlli sui processi. Automatizzando la gestione dei controlli per quanto più possibile. Quali sistemi quindi? SAP GRC Process Control, Risk Management
  2. La seconda linea di difesa riguarda gli aspetti di verifica dell'efficacia dei controlli definiti oltre a supportare la prima linea nella definizione dei controlli, sistemi di GRC Access Control o altri strumenti per la gestione della sicurezza e governance
  3. L'audit interno come compito di controllo ed assicurazione che il modello implementato funzioni correttamente, sistemi di SAP Fraud Management/Audit Management o Business Integration Screening nella nomenclatura più recente.

 

Vedi anche approfondimento metodologico qui.

 

Ma con quali strumenti?

È strategico ragionare su processi end-to-end per quanto più possibile. Quindi non fermarsi al solo disegno dei rischi ma anche agli aspetti di automatizzazione dei controlli.

 

Non è necessario fare tutto subito, anche perché potrebbe essere molto complesso, nella maggior parte dei casi non tecnicamente ma a livello organizzativo.

 

Per questo motivo SAP ha progettato diversi strumenti che possono essere utilizzati in modalità stand-alone oppure, in un sistema più maturo e completo assieme.

 

Avere una visione globale delle potenzialità degli strumenti permette di disegnare la road map di adozione di questi ultimi. Ponderando anche le difficoltà/criticità da tenere in considerazione, spesso gli aspetti organizzativi aziendali rappresentano gli ostacoli maggiori in azienda.

 

Come partire quindi?

 

A nostro avviso e per quello che ci caratterizza il percorso da seguire potrebbe essere il seguente:

 

  1. Definisci un modello di accessi che permetta il controllo e governo di chi fa che cosa. Coinvolgendo per quanto più possibile il business, anche attraverso l'uso di strumenti come l'Access Control, SAP Identity Management, Code Vulnerability Analysis SAP Field Masking i primi tre fondamentali l'ultimo da valutare a seguito dei dati da gestire
  2. Definisci quali sono i tuoi controlli aziendali (qualsiasi controllo, non solamente quelli legati alla gestione degli accessi) tramite il GRC Process Control
  3. Occupati di controllare se tutto funziona come deve. Ovvero utilizza e sfrutta strumenti come SAP Enterprise Threat Detection per collegare i log e definire dei pattern di criticità da sottoporre tramite alert o anche SAP Business Integrity Screening (Fraud Management) ed SAP Audit Management per abbandonare mail ed excel durante gli audit periodici da fare in azienda

 

 

Topics: sap italia, sap security partner

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti