Sondaggi SAP Security ed Auditing, ne hai mai fatti?

Posted by Massimo Manara on May 25, 2022 12:00:00 AM

Ne facciamo o ne riceviamo diversi, per ogni cosa che acquistiamo o sui servizi che riceviamo.

FEEDBACK

In azienda non sono così diffusi, come mai? Da dove iniziare per avere qualche feedback sulla parte di security?

Feedback, recensioni e Sondaggi quanto contano?

A mio avviso moltissimo. Ci vengono chiesti costantemente oppure in alcuni casi li subiamo (positivi e/o negativi).

 

FEEDBACK

 

Quando acquistiamo qualcosa, un oggetto oppure un servizio. Li trovo molto utili. Avere in questo caso l'esperienza di qualcuno che ci è già passato è utile.

 

Esistono anche nelle società sotto diversi punti di vista:

  • Le case history che un fornitore può fare o citare. Più o meno efficaci, ma in questo caso è meno partecipato come ritorno (leggi qui le nostre case history)
  • Il passaparola, non sempre possibile ma spesso molto efficace (sicuramente meno strutturato e meno accessibile)
  • In alcuni casi come misurazione del servizio offerto all'interno della società

 

Ma a cosa serve fare un sondaggio sulla parte di Security e Auditing SAP?

Forse una prima domanda dovrebbe essere quella di identificare il target di riferimento. Nella maggior parte dei casi potremmo dire il business.

 

Possono sicuramente aiutare dipartimenti come quelli IT, HR oppure audit. Può essere utile per capire qual è "l'appetito" o il "sentiment" verso le tematiche di sicurezza e protezione dei dati aziendali.

 

Attenzione, qui non penso a sondaggi tecnici o security awareness. Ma più a cosa e come gli aspetti di sicurezza possono portare in termini di benefici percepiti dall'utente finale.

 

Alcuni esempi?

 

  1. Quanto tempo serve dalla richiesta che crei in un determinato sistema alla sua evasione in maniera corretta della stessa?
  2. Quanto a tuo avviso la protezione dei dati aziendale è rilevante per le attività del business che svolgiamo?
  3. Quanto credi che l'utilizzo di password possa limitare la tua operatività? Meglio usare sistemi di autenticazioni più evoluti?
  4. Conosci davvero ciò che potrebbero fare i tuoi collaboratori (interni ed esterni)?
  5. Pensi che avere un sistema unico centralizzato di gestione delle identità aziendali possa essere di aiuto per semplificare i processi di nuove assunzioni o spostamenti all'interno dell'azienda?
  6. Sai se in azienda si adottano delle logiche di separazione dei compiti?
  7. Sei d'accordo sull'applicazione delle logiche di separazione dei compiti anche se queste possono comportare un appesantimento delle procedure o processi?
  8. Quanto dovrebbe essere coinvolto l'HR nella gestione delle profilazioni dei sistemi applicativi aziendali?

 

La domanda 1 fa emergere che forse potrebbero servire degli strumenti di IDM o IAM (Identity Management o Access Management)

 

La domanda 2 può essere utile per far capire che se dobbiamo proteggere qualcosa o se qualcosa è critico, può capitare di ricevere dei blocchi (anche se siano falsi positivi) oppure che ci siano dei "ritardi" dovuti a meccanismi di approvazione.

 

La domanda 3 introduce la necessità di valutare strumenti per semplificare l'accesso ai sistemi, quindi la tematica di Single Sing On

 

La domanda 4 serve per capire se chi dovrebbe rivalidare gli accessi, effettivamente conosce cosa fanno o dovrebbero fare i propri collaboratori

 

La domanda 5 è un po' più esplicita della domanda 1

 

La domanda 6 serve per "misurare" quanto in azienda sono consapevoli del fatto che esistano (se è davvero così) delle logiche di separazione dei compiti. Questo spesso viene percepito come una inefficienza, per il rilascio delle abilitazioni oppure per il controllo degli accessi.

 

La domanda 7 collegata alla 6 "misura" e ci fa capire se siamo più orientati a fare, senza controlli, oppure riteniamo che sia necessario svolgere dei controlli per prevenire frodi.

 

La domanda 8 vuole rispondere alla questione del "decidere chi fa cosa in azienda"

 

 

Qual è il risultato?

Non hai un metro soggettivo per capire cosa fare e dove in azienda, ma oggettivo. Puoi a seguito fare delle campagne di sensibilizzazione e capire dove conviene investire, anche attraverso strumenti.

 

Puoi capire, al di là dei commenti alla macchinetta del caffè, cosa pensano gli utenti su determinate tematiche.

 

Avere degli strumenti in azienda che gestiscono le tematiche di Identity Management o di Segregation Of Duties, o altri aspetti non significa in alcuni casi avere risolto un problema. In determinate situazioni il business crede (a volte anche erroneamente) di aver ottenuto un problema in più da gestire, non una semplificazione.

 

 

 

 

 

Topics: semplificare, feedback, sondaggi

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti