Best Practices per la remediation di rischi Segregation of Duties (SoD)

Posted by Massimo Manara on Sep 21, 2022 8:15:00 AM
Massimo Manara
Find me on:
LinkedIn

3 suggerimenti su come affrontare l'attività di remediation dei rischi SoD (Segregation Of Duties) dopo aver effettuato una Risk Analysis.

tips

Da dove conviene partire? Come ragionare? Quali i punti di attenzione?

1 - Attenzione alla matrice dei rischi

 

Una volta che la matrice dei rischi è stata definita, non è "oro colato" per sempre. Può capitare di doverla affinare nel corso del progetto o processo SoD.

 

Un aspetto importante è ad esempio quello legato alla gestione delle "permission". Ovvero che nella fase di risk analysis (leggi qui come eseguire una risk analysis con SAP GRC) il sistema utilizzato tega conto delle autorizzazioni e non solo delle transazioni per evitare dei falsi positivi.

 

Ad esempio, delle transazioni assegnate in sola lettura e quindi prese in esame da sole potrebbero portare a far credere alla presenza di un rischio che nella realtà non esiste in quanto l'utente abilitato può esclusivamente vedere dati ma non modificare (un caso di esempio è quello della transazione MIGO per effettuare le entrate merci).

 

Purtroppo, in SAP non esiste una transazione di sola visualizzazione in questi casi e quindi è necessario controllare bene gli oggetti autorizzativi assegnati alle utenze per determinate se questa transazione sia in scrittura o sola lettura.

 

 

2 - Attenzione a ruoli e profili critici

Esistono in SAP ruoli o profili che sono molto ampi. Solitamente viene suggerito di rimuoverli dalla risk analysis per fare in modo che il risultato sia più gestibile. 

 

Attenzione. La rimozione non significa non gestione. Sostanzialmente serve censire questi ruoli e profili "critici" garantendo che siano assegnati solo a chi li deve avere. 

 

In effetti se questi ruoli o profili abilitano a tutti o quasi tutti i rischi definiti nella matrice qual è il senso di effettuare questo calcolo quando sappiamo già a priori il risultato?

 

 

3 - Attenzione all'ordine di remediation

Pur essendo la parte più importante quella delle utenze, il processo e l'ordine di remediation suggerito è quello dei ruoli ovvero.

 

  • Ruoli singoli
  • Ruoli composti ed infine 
  • Utenti

 

È possibile invertire o usare un altro ordine? Certamente è possibile farlo ma attenzione potrebbe comportare un maggiore effort!

 

 

Iscriviti ora al canale YouTube AGLEA!

 

Topics: Segregation of duties, sod, remediation

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy