Il ruolo di base è un contenitore al cui interno sono inserite alcune delle autorizzazioni che tutti gli utenti dovrebbero avere.
Si tratta di un insieme di utility, non critiche ed utili in alcuni momenti. Come conviene progettarlo e cosa dovrebbe contenere?
Topics: pfcg, gdpr, SAP GRC, access management, ruoli
In SAP esiste/eva un limite sul numero di profili assegnabili all’utente. Storicamente questo limite di 300 e poi 312 è stato mantenuto per porre un limite appunto al proliferare delle autorizzazioni sulle utenze.
Esiste ancora questo limite?
È davvero possibile fare in modo che i consulenti esterni non abbiano l’accesso ai sistemi produttivi SAP?
Chiaramente ci sono diverse casistiche, consulenze occasionali oppure consulenze continuative, ad esempio i contratti di manutenzione.
È davvero necessario rilasciare l’accesso ai sistemi produttivi anche in questo ultimo caso? Riusciamo a controllare cosa avviene e perché viene richiesto?
Esistono diversi percorsi e training formativi per l’area Security SAP. Di seguito i principali corsi dell’area SAP Security e Governance forniti dall’education di SAP.
Topics: corso, pfcg, gdpr, e-learning, SAP GRC, idm, access management, SAP Security, SAP HR, HANA, training
Gli aggiornamenti di SAP sono frequenti. SAP rilascia aggiornamenti di funzionalità ai suoi prodotti ma anche nuove funzionalità o patch security.
Sei orientato ad acquistare SAP Governance Risk and Compliance Access Control? Allora potresti essere interessato a qualche suggerimento per l’acquisto la configurazione e la gestione nel tempo di questo strumento.
Topics: ISO, sod, SAP GRC, Segregation of duties, SAP Security, SAP GDPR, quotazione borsa
Per motivi di policy interne o regolamenti potrebbe essere necessario anonimizzare dei dati gestiti in SAP. Esistono diversi modi per rendere anonimi i dati. I primi elementi su cui concentrarsi sono i seguenti:
Topics: SAP GDPR, UI logging, UI Masking
Progetto Segregation of Duties: quanti rischi devono essere definiti?
In questo momento stai affrontando un progetto di Segregation of Duties (SoD) o dovrai farlo nel futuro? Devi definire i rischi ma non sai quanti?
Topics: Segregation of duties, SAP Security, custom, audit
Per quale motivo le decisioni a fronte delle richieste di abilitazioni spesso ricadono sull’IT?
Perché deve essere l’IT ad identificare quale ruolo attribuire?
Il business dovrebbe formulare le richieste affinché l’IT sia in grado di processarle senza reiterazioni, oppure mettere a disposizione uno strumento che permetta il provisioning automatico delle abilitazioni, magari a seguito di un workflow approvativo.
Quanto appena descritto, però, spesso non avviene per svariati motivi, vediamo quali sono!
Topics: Segregation of duties
Lo scopo della SoD è quello di assicurare che solo le persone con le competenze adeguate possano eseguire delle transazioni sensibili.
Lo scopo, infatti, è quello di spezzare il processo, in modo tale che un utente non rappresenti un rischio di frode (in quanto troppo potente).
Non sempre tutto ciò è di semplice implementazione ed attuazione e questo per molte ragioni organizzative e tecniche.
Per questo motivo abbiamo ideato una metodologia di gestione della SOD che abbiamo chiamato SOD DARE. Di che cosa si tratta?
Topics: Segregation of duties