Hai mai sentito parlare di questo genere di organizzazioni?
Che cosa sono? Come funzionano? Come può essere gestita la security SAP in questo genere di organizzazioni?
Teal Organization, cosa sono?
In poche parole, una nuova visione di fare "business", basata più che "sul fare le cose nel modo giusto" sul fai la cosa giusta. Che non sempre, nelle organizzazioni classiche avviene.
In questa visione sono descritti diversi tipi di società/organizzazioni, utilizzando dei colori:
- Infrarosso
- Magenta
- Rosso
- Ambra
- Arancione
- Verde
- Teal
*fonte immagine: (Reinventare le organizzazioni. Come creare organizzazioni ispirate al prossimo stadio della consapevolezza umana, autore: Frederic Laloux pag. 61)
Ognuno di questi colori rappresenta la maturità di una certa società, potremmo dire la propria impronta, fino ad arrivare a quella Teal nel corso del tempo.
Ma quali sono i caratteri principali che distinguono queste organizzazioni:
- Rosse. Divisione del lavoro ed autorità basata sul comando (es. organizzazioni criminali)
- Ambrate. Ruoli formalizzati, gerarchie ben precise (es. esercito, scuola pubblica)
- Arancioni. Innovazione, responsabilità, meritocrazia (es. Multinazionali, scuola privata)
- Verdi. Modello degli stakeholders, cultura guidata da valori per ottenere la massima motivazione dei dipendenti (es. Zappos)
- Teal. Autogestione (non nel senso di caos come si potrebbe essere portati a pensare), condivisione, evoluzione comune (anche al di fuori della propria organizzazione)
Ma quali sono i punti di forza di questo genere di organizzazioni?
- Team auto organizzati
- Assenza di strutture HR o Acquisiti
- Ruoli fluidi al posto di job role description, nessuna etichetta di ruolo
- Processi decisionali decentralizzati, nessun vertice che possa decidere
- Condivisione ad ogni livello delle informazioni. Nessun segreto. Ognuno vede cosa fanno gli altri team, ognuno conosce i risultati e fallimenti, tutti possono sapere lo stipendio di chiunque. Non solo, viene stabilito dalle persone stesse il proprio compenso (tramite un processo condiviso)
Sembra follia (almeno per me oggi vedendo la situazione attuale delle società nostre clienti e della stessa nostra società per alcuni aspetti), ma merita attenzione provare ad immaginare e cogliere gli aspetti positivi. In alcune organizzazioni è già realtà da tempo.
SAP Security Teal
Quindi cosa si fa? By default SAP_ALL a chiunque?
Ho provato ad immaginare la security SAP in questo genere di organizzazioni. Magari basate completamente su paradigmi cloud.
Maggiore condivisione e fruizione dei dati significa davvero meno sicurezza?
A mio avviso no.
Forse conviene dividere almeno in due parti il ragionamento:
- Minacce dall'esterno
- Minacce dall'interno
Per le minacce dall'esterno valgono i ragionamenti attuali. Protezione dei sistemi, crittografia, protezione da ransomware, social engineering, cyber security nel senso più esteso del termine.
Per le minacce dall'interno, qui forse diventa più complicato. Se oggi, nella maggior parte delle organizzazioni, esistono delle suddivisioni di compiti ben precise, domani, in questo paradigma, potrebbe non essere così.
Cosa significa gestire la Segregation Of Duties nelle organizzazioni teal. Forse controlli mitigativi all'ennesima potenza?
È probabile che in questo caso gli sforzi di protezione dei dati siano concentrati quasi completamente a valle. I processi di assegnazione di abilitazioni siano meno stringenti, chiunque può avere il ruolo che vuole, ma tutti sanno che le informazioni visionate, esportate e gestite sono tracciate e controllate. Potrebbe aprirsi un capitolo ad hoc sul tema della liceità.
Vedremo!
E tu come la pensi? Scrivilo nei commenti!