Ne facciamo o ne riceviamo diversi, per ogni cosa che acquistiamo o sui servizi che riceviamo.
In azienda non sono così diffusi, come mai? Da dove iniziare per avere qualche feedback sulla parte di security?
Feedback, recensioni e Sondaggi quanto contano?
A mio avviso moltissimo. Ci vengono chiesti costantemente oppure in alcuni casi li subiamo (positivi e/o negativi).
Quando acquistiamo qualcosa, un oggetto oppure un servizio. Li trovo molto utili. Avere in questo caso l'esperienza di qualcuno che ci è già passato è utile.
Esistono anche nelle società sotto diversi punti di vista:
- Le case history che un fornitore può fare o citare. Più o meno efficaci, ma in questo caso è meno partecipato come ritorno (leggi qui le nostre case history)
- Il passaparola, non sempre possibile ma spesso molto efficace (sicuramente meno strutturato e meno accessibile)
- In alcuni casi come misurazione del servizio offerto all'interno della società
Ma a cosa serve fare un sondaggio sulla parte di Security e Auditing SAP?
Forse una prima domanda dovrebbe essere quella di identificare il target di riferimento. Nella maggior parte dei casi potremmo dire il business.
Possono sicuramente aiutare dipartimenti come quelli IT, HR oppure audit. Può essere utile per capire qual è "l'appetito" o il "sentiment" verso le tematiche di sicurezza e protezione dei dati aziendali.
Attenzione, qui non penso a sondaggi tecnici o security awareness. Ma più a cosa e come gli aspetti di sicurezza possono portare in termini di benefici percepiti dall'utente finale.
Alcuni esempi?
- Quanto tempo serve dalla richiesta che crei in un determinato sistema alla sua evasione in maniera corretta della stessa?
- Quanto a tuo avviso la protezione dei dati aziendale è rilevante per le attività del business che svolgiamo?
- Quanto credi che l'utilizzo di password possa limitare la tua operatività? Meglio usare sistemi di autenticazioni più evoluti?
- Conosci davvero ciò che potrebbero fare i tuoi collaboratori (interni ed esterni)?
- Pensi che avere un sistema unico centralizzato di gestione delle identità aziendali possa essere di aiuto per semplificare i processi di nuove assunzioni o spostamenti all'interno dell'azienda?
- Sai se in azienda si adottano delle logiche di separazione dei compiti?
- Sei d'accordo sull'applicazione delle logiche di separazione dei compiti anche se queste possono comportare un appesantimento delle procedure o processi?
- Quanto dovrebbe essere coinvolto l'HR nella gestione delle profilazioni dei sistemi applicativi aziendali?
La domanda 1 fa emergere che forse potrebbero servire degli strumenti di IDM o IAM (Identity Management o Access Management)
La domanda 2 può essere utile per far capire che se dobbiamo proteggere qualcosa o se qualcosa è critico, può capitare di ricevere dei blocchi (anche se siano falsi positivi) oppure che ci siano dei "ritardi" dovuti a meccanismi di approvazione.
La domanda 3 introduce la necessità di valutare strumenti per semplificare l'accesso ai sistemi, quindi la tematica di Single Sing On
La domanda 4 serve per capire se chi dovrebbe rivalidare gli accessi, effettivamente conosce cosa fanno o dovrebbero fare i propri collaboratori
La domanda 5 è un po' più esplicita della domanda 1
La domanda 6 serve per "misurare" quanto in azienda sono consapevoli del fatto che esistano (se è davvero così) delle logiche di separazione dei compiti. Questo spesso viene percepito come una inefficienza, per il rilascio delle abilitazioni oppure per il controllo degli accessi.
La domanda 7 collegata alla 6 "misura" e ci fa capire se siamo più orientati a fare, senza controlli, oppure riteniamo che sia necessario svolgere dei controlli per prevenire frodi.
La domanda 8 vuole rispondere alla questione del "decidere chi fa cosa in azienda"
Qual è il risultato?
Non hai un metro soggettivo per capire cosa fare e dove in azienda, ma oggettivo. Puoi a seguito fare delle campagne di sensibilizzazione e capire dove conviene investire, anche attraverso strumenti.
Puoi capire, al di là dei commenti alla macchinetta del caffè, cosa pensano gli utenti su determinate tematiche.
Avere degli strumenti in azienda che gestiscono le tematiche di Identity Management o di Segregation Of Duties, o altri aspetti non significa in alcuni casi avere risolto un problema. In determinate situazioni il business crede (a volte anche erroneamente) di aver ottenuto un problema in più da gestire, non una semplificazione.