Certificazione ruoli SAP

Posted by Massimo Manara on Dec 7, 2022 8:15:00 AM
Massimo Manara
Find me on:
LinkedIn

Come gestire il processo di certificazione rivalidazione dei ruoli SAP?

 

Rivalidazione

Cosa sono questi processi? A cosa servono e come è possibile realizzarli?

Certificazione Ruoli SAP o validazione?

 

Sono due processi distinti che in realtà possono essere descritti con più termini.

 

  • Certificazione o ricertificazione ruoli SAP, quando ci si riferisce alla conferma periodica del contenuto dei ruoli 

  • Validazione o ri-validazione dei ruoli SAP. In questo caso si fa riferimento alla rivalidazione periodica del legame Utente-Ruolo. Questo processo viene anche chiamato User Access Review (UAR)

 

Come è possibile quindi garantire un controllo sugli aspetti della validazione dei ruoli SAP? Ma anche degli utenti. Leggi qui la differenza tra ruoli e profili SAP.

 

Processo di riverifica periodica, User Access Review

Si tratta di un processo che dovrebbe in realtà riguardare tutti i sistemi, non solo quelli SAP, che prevede la riconferma o meno delle abilitazioni di ogni utente.

 

Questo tipo di workflow può essere nativamente trovato nei prodotti di gestione delle identità aziendali:

 

Ma anche nel prodotto SAP GRC Access Control, attraverso le funzionalità:

  • Business Role Management Role certification
  • User Access Review (UAR) e SoD Review (in questo ultimo caso per il processo di controllo dei rischi di segregation of duties aziendale)

 

Esistono diversi modi per farlo (manuale o automatico)

 

  • Manualmente
    • mandando ad un referente i dettagli del legame ruolo-utente
    • Viene effettuato tramite un processo manuale o tramite un software che predispone e controlla il processo automatizzando le fasi di costruzione delle reportistiche, processamento da parte degli approvatori e rimozione automatica degli eventuali ruoli rigettati

  • Automaticamente
    • viene svolto automaticamente con cadenza stabilita (es. semestrale o annuale)

    In entrambi i casi, viene definito il processo di approvazione es. Manager o Role Owner

 

In questo tipo di processi non viene suggerito di aggiungere ulteriori passaggi approvativi per non appesantire il workflow, soprattutto se manuale.

 

4 punti di attenzione del processo di certificazione o rivalidazione e controllo dei ruoli SAP

In generale abbiamo osservato che:

 

  1. Se il processo è manuale, quindi anche il solo aspetto di costruire il "cosa" dovranno approvare gli approvatori, è molto oneroso in termini di tempo e spesso presenta lacune

  2. Se il processo è manuale, viene spesso sottovalutato in termini di gestione operativa. Ovvero, chi crea la documentazione da sottoporre agli approvatori? Come viene comunicata? Chi effettua tutti i follow up necessari a fronte degli approvatori? Chi fa i solleciti? Chi raccoglie le evidenze per poi eventualmente processarle?

  3. Se il processo è manuale è molto probabile che nella maggior parte dei casi risponda solo il 30% della popolazione coinvolta (ed è già un ottimo risultato), possono essere raggiunte percentuali più alte dedicando risorse per i solleciti

  4. Se non è definito un modello autorizzativo condiviso, soprattutto con il business, questi processi possono essere inutili in diversi casi:
    Questo ultimo punto chiaramente vale in entrambi i casi, che il processo sia automatico o manuale

 

Processo di validazione del contenuto dei ruoli SAP

In questo caso si fa riferimento alla verifica periodica del contenuto dei ruoli. Infatti, nel corso del tempo, pur avendo definito delle procedure di controllo è possibile che avvengano "deviazioni" al modello.

 

 

Anche in questo caso si applica quanto visto in precedenza. Chiaramente è un aspetto più tecnico e specifico (nel caso di rivalidazione dei ruoli SAP) in quanto per approvare il contenuto dei ruoli, bisogna conoscere le transazioni o applicazioni in essi contenute.

 

Nel caso del sistema SAP GRC Access Control è possibile trovare queste informazioni nella definizione del ruolo stesso, vedi immagine seguente, nelle sezioni di "Certification" e "Role Reaffirm".

SAP GRC BRM Role

Distinguendo inoltre tra chi può essere Role Content Owner o Assignment Approver

 

BRM Role owner-1

Iscriviti al blog se ancora non lo hai fatto!

 

Topics: SAP GRC, workflow security SAP, User Access Management, sap grc 12, sap business role, sap workflow

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy