Progetto Segregation of Duties: quanti rischi devono essere definiti?
In questo momento stai affrontando un progetto di Segregation of Duties (SoD) o dovrai farlo nel futuro? Devi definire i rischi ma non sai quanti?
Recent Posts
0 Comments Click here to read/write comments
Topics: Segregation of duties, SAP Security, custom, audit
Per quale motivo le decisioni a fronte delle richieste di abilitazioni spesso ricadono sull’IT?
Perché deve essere l’IT ad identificare quale ruolo attribuire?
Il business dovrebbe formulare le richieste affinché l’IT sia in grado di processarle senza reiterazioni, oppure mettere a disposizione uno strumento che permetta il provisioning automatico delle abilitazioni, magari a seguito di un workflow approvativo.
Quanto appena descritto, però, spesso non avviene per svariati motivi, vediamo quali sono!
0 Comments Click here to read/write comments
Topics: Segregation of duties
Lo scopo della SoD è quello di assicurare che solo le persone con le competenze adeguate possano eseguire delle transazioni sensibili.
Lo scopo, infatti, è quello di spezzare il processo, in modo tale che un utente non rappresenti un rischio di frode (in quanto troppo potente).
Non sempre tutto ciò è di semplice implementazione ed attuazione e questo per molte ragioni organizzative e tecniche.
Per questo motivo abbiamo ideato una metodologia di gestione della SOD che abbiamo chiamato SOD DARE. Di che cosa si tratta?
0 Comments Click here to read/write comments
Topics: Segregation of duties
A cosa serve?
Questo strumento consente di effettuare una trace a livello applicativo delle attività di una o più utenze SAP.
Può essere inoltre utilizzato per collegare SAP ad un SIEM (Security Information and Event Management) terzo oppure la soluzione SAP Enterprise Threat Detection (ETD).
0 Comments Click here to read/write comments
Topics: security audit log, SAP Security, SAP ECC, governance
Ecco perché è importante controllare come vengono esportati e da chi sono diffusi
Come controllare i dati che vengono esportati da SAP ECC?
Molti utenti devono essere formalmente autorizzati a farlo, fa parte del loro lavoro. È tuttavia fondamentale, soprattutto in ottica GDPR, controllare come e chi esporta eventuali dati in modo non autorizzato dal sistema SAP.
Come farlo? Vediamo alcuni metodi inclusi nella business suite SAP ed altri a pagamento.
0 Comments Click here to read/write comments
Topics: gdpr, security audit log, SAP Security, SAP HR, SAP ECC, UI logging, UI Masking
Come la Segregation of Duties ti aiuta a proteggere i dati aziendali?
Ogni società ha delle normative alle quali fare riferimento. Che siano a livello nazionale, internazionale o certificazioni di settore. Ad esempio:
- Certificazioni ISO
- Normative nazionali come il Dlgs. 231/2001 e Legge 262/2005
- Dlgs 101/2018 per l’adeguamento al regolamento europeo (2016/679) in materia di protezione dei dati personali GDPR
- GxP ad esempio per società farmaceutiche
- Nota Fiscal elettronica
- SoX, JSoX
- Policy interne
Ognuna di queste normative porta con sé un effort di gestione per il raggiungimento delle certificazioni e per il loro mantenimento. È molto frequente trovare il principio della Segregation of Duties in molte delle normative sopra.
Quanto la SoD può essere di aiuto nel rispettarle?
0 Comments Click here to read/write comments
Topics: ISO, sod, SAP Security, governance