La gestione del personale nei sistemi HR (Human Resource). Anche in questo caso è fondamentale la gestione degli accessi ai dati che potrebbero essere molto riservati.
Ma quali sono i sistemi disponibili nei sistemi SAP HR per la gestione dei logs? Vediamo in questo articolo i principali.
Perché SAP HR è diverso da SAP ERP?
Non mi riferisco agli aspetti architetturali, infatti HR può essere installato direttamente su un sistema ERP già esistente, ma agli aspetti di segregazione applicativa dei dati. Ipotizzando che la gestione dei processi legati alle risorse umane avvenga on premise e non in cloud attraverso sistemi come Success Factors ad esempio.
Da sempre l'attenzione al dato in questi sistemi è stata molto alta, così la SAP stessa ha definito un modello autorizzativo molto dettagliato e per alcuni aspetti unico, molto diverso (seppur condividendo la medesima struttura più o meno) da quello dell'ERP classico.
In aggiunta alla classica transazione PFCG (Profile Generator) è possibile utilizzare ulteriori strumenti, come ad esempio i profili strutturali ad esempio.
Inoltre, il modulo HR non viene sempre installato direttamente nei sistemi ERP esistenti.
- Perché può essere necessario aggiornare il sistema HR più frequentemente rispetto ad un sistema ERP. Quindi in questo caso potrebbero essere necessari più fermi macchina (non sempre sostenibile o possibile in un sistema ERP
- Perché si desidera avere un sistema fisicamente diverso a garanzia ulteriore di accesso ai dati
Perché in questo sistema sono importanti i log?
Come per gli altri sistemi sono diverse le motivazioni:
- Per capire chi ha modificato cosa
- Per fare indagini forensi in maniera detective
- Per vedere chi ha visto cosa
- Per usare questi dati al fine di correlare eventi e ricercare pattern critici
Quali quindi i log disponibili nei sistemi HR?
Partiamo dividendo nei due principali moduli HR:
- PA - Personnel Administration
- PD - Personnel Development
Nel primo caso il modulo PA si occupa della gestione dell'anagrafica del personale, quindi in italiano (per SAP), i CID o PERNR (Personnel Number) in inglese. Tecnicamente, semplificando, tutte le transazioni che iniziano con PA. Es. PA20, PA30 etcc Attraverso queste transazioni è infatti possibile vedere o gestire gli infotype. Gli infotype, semplificando, rappresentano un certo insieme di dati, ad esempio Comunicazione (ovvero tutte le informazioni di contatto del dipendente), Allocazione organizzativa etcc
Esistono chiaramente altri sotto moduli, ma PA e PD sono sicuramente quelli principali. Da ricordare inoltre che spesso SAP utilizza e sfrutta il modulo HR per altri processi (ad esempio esistono integrazioni tra il controlling e l'HR così come i processi delle vendite). Quindi è possibile avere un minimo di censimento anagrafico dei dipendenti anche se non si usa realmente il sistema HR (ad esempio per le paghe, ovvero il payroll).
Di default nel modulo PA sono già attivi dei log che permettono di risalire a chi ha fatto delle modifiche sull'anagrafica dei dipendenti.
- Tramite la transazione S_AHR_61016380 che richiama il report RPUAUD00. È possibile vedere le modifiche apportate agli infotype. Le seguenti tabelle definisco quali log tracciare.
- HR Documents: Infotypes with Documents (V_T585A)
- HR Documents: Field Group Definition (V_T585B)
- HR Documents: Field Group Characteristics (V_T585C)
Attraverso la transazione S_AHR_61016380 è possibile vedere le modifiche che sono state registrate.
Mentre nel secondo caso PD lo sviluppo e la crescita del personale. Tecnicamente, semplificando le transazioni PP*. Ad esempio PPOM o PP01 etcc i log non sono attivi by default e serve quindi, se necessario (sicuramente suggerito) attivarli.
Attraverso la personalizzazione della tabella T77CDOC_CUST è possibile decidere su quali relazioni attivare i log delle modifiche.
Attivando i log della tabella sopra (la configurazione equivale a tracciare tutto) ad ogni modifica fatta in struttura verrebbe generato un log.
Solitamente solo alcune relazioni vengono attivate, non tutte. Tramite il report RHCDOC_DISPLAY o RHRHAZ00 oppure tramite transazione RE_RHRHAZ00 è possibile vedere le modifiche.
I dati provengono da un sistema SAP IDES (Internet Demonstration and Evaluation System)
Altri log utili, anche nei sistemi HR sono i seguenti:
- V_T599R PM->PA->Tools->Revision->Log Per la tracciatura dei report eseguiti in ambito HR (Report RPUPROTD)
- Il SAP Security Audit Log, Transaction SM20N o RSAU_READ_LOG
- Table trace, quindi transazione SCU3
- Attivazione del logging sulle SAP Query
Tutti i log sopra riguardano le modifiche ai dati, non gli accessi in lettura. Questo ultimo tipo di log può essere attivato in due modi:
- Attraverso l'applicazione della OSS Note 2187273 - How to display Access Log / Individual Number Log for Japan special infotype
- Viene richiesto uno sviluppo, come descritto nella nota e potrebbe non essere fattibile in tutti casi (la nota fa riferimento a specificità Giapponesi, ma applicabili anche a infotype standard)
- Viene richiesto uno sviluppo, come descritto nella nota e potrebbe non essere fattibile in tutti casi (la nota fa riferimento a specificità Giapponesi, ma applicabili anche a infotype standard)
- Tramite la funzionalità del prodotto SAP UI Logging, andando a censire le transazioni e i campi da porre sotto log
Ma può essere utile SAP GRC Access Control per i sistemi HR?
Sì, SAP GRC può essere utile almeno per due motivi:
- Per la gestione della separazione dei compiti (SoD) in ambito HR (specialmente nel caso dei processi di payroll)
- Per la verifica degli accessi in ambito HR, può essere infatti utile definire una matrice dei rischi di accesso, ma non per finalità SoD, ma per controllo degli accessi ai dati HR.