Avere all’interno dell’azienda know how anche sulla parte degli sviluppi SAP è sicuramente importante. Soprattutto per non dipendere da terzi anche nel caso di problematiche semplici.
Non parliamo direttamente di sviluppatori ABAP. Ma di quali sono o potrebbero essere gli impatti nell’avere un gruppo interno di sviluppatori per quanto riguarda gli aspetti security.
È meglio, da un punto di vista di security SAP, avere un team di sviluppo interno oppure esterno?
Una delle difficoltà maggiori è quella di verificare se gli sviluppi software siano sicuri. Non è semplice farlo in quanto presuppone una conoscenza tecnica molto verticale del linguaggio ed una disponibilità di tempo che può non essere indifferente.
Spesso queste due risorse sono difficili da trovare in azienda e probabilmente anche ingiustificate.
Riuscire ad identificare problemi di sicurezza durante lo sviluppo ha costi più bassi rispetto a scoprire anomalie di programmi già attivi ed utilizzati.
Esistono diversi modi in SAP per controllare gli sviluppi dal punto di vista della sicurezza.
Nell'attività di supporto che l'IT svolge possono essere presenti diverse tipologie di supporto:
La sostituzione del business non è mai un modo corretto di gestione (anche se in alcune situazioni può apparentemente semplificare la gestione). Potrebbe infatti portare con se delle anomalie di processo che emergerebbero in fase di separazione dei compiti ad esempio.
L'emergenza può portare alla definizione compulsiva di transazioni custom di fatto ad personam. Ogni dipartimento richiede delle personalizzazioni specifiche e non si abitua o trova funzionalità standard che possa essere utilizzata. Spesso confondendo i sistemi transazionali (OLTP Online Transaction Processing) con quelli di analisi (OLAP Online Analysis Processing).
Ogni oggetto custom definito nel sistema ha un costo di gestione non indifferente. Molte delle funzionalità custom dopo qualche anno non sono più utilizzate.
Esistono sicuramente dei vantaggi. Ma anche punti di attenzione da tenere in considerazione.
Quali sono i vantaggi di avere un team di sviluppo esterno:
Attenzione, gli aspetti sopra possono essere dei punti di vantaggio. Ma non sempre è così. Gli accordi contrattuali in alcuni casi potrebbero favorire o sfavorire alcuni comportamenti virtuosi da parte del fornitore di turno.
È quindi fondamentale avere internamente un referente che possa capire anche dal punto di vista tecnico le proposte, valutarle prima di procedere con lo sviluppo. Soprattutto sugli aspetti Security SAP.
In molti casi, infatti, se nei documenti di specifiche non sono presenti aspetti autorizzativi e/o sviluppo sicuro, questi non sono considerati.
È importante inoltre dotarsi di strumenti che possano certificare l’operato di società terze di sviluppo. Gli strumenti citati all'inizio possono essere di aiuto nel definire delle soglie di accettabilità degli sviluppi.
Sarà infatti possibile inserire nei contratti delle clausole specifiche di conformità basate su analisi realizzate da strumenti terzi di controllo.
Non in tutti gli scenari è possibile applicare lo stesso criterio di scelta. Tuttavia, alcune considerazioni possono essere comuni.