AGLEA SAP Security Blog

SAP HR Reporting

Scritto da Massimo Manara | Mar 29, 2022 10:00:00 PM

La distribuzione e disponibilità dei dati in azienda è una tematica molto sentita anche nel contesto HR.

Ma fino a dove ci si può spingere, riguardo le tematiche di sicurezza ed integrità dei dati? Quanto l'IT deve essere coinvolto e come? Come gestire le soluzioni ibride?

Perché SAP HR

La gestione delle risorse umane (HR) per sua natura prevede la possibilità di effettuare delle reportistiche specifiche. La dimostrazione si trova nelle funzionalità chiamate ad hoc query di questo modulo.

 

Ovvero la possibilità di farsi "al volo" delle query sui dati HR, ad esempio le seguenti

 

  • S_PH0_48000510 - Ad Hoc Query
  • S_PH0_48000513 - Ad Hoc Query

 

Questo strumento può essere, oggi, limitato sotto alcuni punti di vista, in particolare sugli aspetti di integrazione verso altri sistemi.

 

La funzione ICT? Quando e come viene coinvolta?

A seguito di una esigenza di business, solitamente, viene coinvolto il dipartimento ICT per la definizione dei requisiti tecnici ed a seguito l'implementazione interna all'azienda o esterna delle funzionalità richieste.

 

  • Hai mai misurato quanto tempo le interazioni di queste attività comportano?
  • Ma conviene ed è possibile ribaltare questa situazione? Ovvero fare in modo che sia direttamente le funzioni di business a costruirsi ed estrarsi le informazioni di cui necessitano?

 

Rappresenta un vantaggio questa situazione oppure uno svantaggio? Meglio sviluppo di programma per reportistiche o utilizzo di ad hoc query, quali i punti di attenzione?

 

Affinché lo sviluppo delle reportistiche tenga conto degli oggetti autorizzativi (e quindi delle segregazioni, magari già attive a sistema) è necessario prevederne l'utilizzo. Questo nei sistemi SAP (basati su tecnologia ABAP) avviene tramite l'utilizzo dello statement ABAP AUTHORITY-CHECK.

 

Tuttavia nel modulo HR può non essere corretto l'utilizzo diretto dello statement, infatti in questi casi SAP suggerisce di utilizzare i database logici per centralizzare i controlli autorizzativi che avvengono in maniera automatica, soprattutto nella definizione di query e reportistiche. Oppure utilizzando delle function che lavorino su questo genere di database, ad esempio:

  • HR_READ_INFOTYPE
  • SUBTYPE o RH_READ_INFTY

 

Ma ad oggi non esistono solo i sistemi SAP basati su ABAP, esistono delle situazioni ibride.

 

Integrazione in ambienti ibridi

Sempre di più oggi, chi possiede sistemi per la gestione delle risorse umane ha la necessità di attingere a dati al di fuori di questo sistema. Ad esempio, SAP SuccessFactors o ERP (non necessariamente SAP). Ma cosa comporta in termini di sicurezza questo aspetto? E come solitamente viene affrontato? Quali sono i punti di attenzione?

 

  • Sistemi diversi spesso non integrati tra loro
  • Lo scambio di dati avviene attraverso interfacce, spesso non formalizzate o strutturate
  • Può non esserci la possibilità di fare reportistiche on-the-fly ovvero direttamente ed in real time. La modifica di un report può comportare la modifica del programma di estrazione o correlazione dati

 

In termini di sicurezza questo può tradursi in dati che vengono spostati, modificati, condivisi, senza un formale controllo. In alcuni casi per bypassare limiti tecnici dovuti alla necessità di correlare i dati tra loro.

 

Quindi se da un lato ci sono tecnicismi da tenere presente durante lo sviluppo di applicazioni/integrazione, dall'altro la necessità di evitare e controllare il flusso di questi dati.

 

Ma allora che soluzioni possono esserci?

Ho avuto modo di partecipare ad una presentazione del prodotto Query Manager di EPI-USE.

 

Qui puoi trovare un video ed immagini con alcuni esempi concreti del suo funzionamento

 

Fonte: https://www.epiuselabs.com/query-manager

 

Si tratta di uno strumento che permette, principalmente, di mettere in relazione dati da sistemi diversi usando:

  • un flusso controllato
  • potenzialmente delegabile al business (senza coinvolgimento ICT)
  • centralizzato. Questo aspetto credo sia particolarmente importante, vista la natura dei dati coinvolti. Spesso avere più fonti di estrazione può rappresentare un problema di perdita di dati (Data Loss Prevention).