Come gestire il processo di certificazione rivalidazione dei ruoli SAP?
Cosa sono questi processi? A cosa servono e come è possibile realizzarli?
Certificazione Ruoli SAP o validazione?
Sono due processi distinti che in realtà possono essere descritti con più termini.
- Certificazione o ricertificazione ruoli SAP, quando ci si riferisce alla conferma periodica del contenuto dei ruoli
- Validazione o ri-validazione dei ruoli SAP. In questo caso si fa riferimento alla rivalidazione periodica del legame Utente-Ruolo. Questo processo viene anche chiamato User Access Review (UAR)
Come è possibile quindi garantire un controllo sugli aspetti della validazione dei ruoli SAP? Ma anche degli utenti. Leggi qui la differenza tra ruoli e profili SAP.
Processo di riverifica periodica, User Access Review
Si tratta di un processo che dovrebbe in realtà riguardare tutti i sistemi, non solo quelli SAP, che prevede la riconferma o meno delle abilitazioni di ogni utente.
Questo tipo di workflow può essere nativamente trovato nei prodotti di gestione delle identità aziendali:
Ma anche nel prodotto SAP GRC Access Control, attraverso le funzionalità:
- Business Role Management Role certification
- User Access Review (UAR) e SoD Review (in questo ultimo caso per il processo di controllo dei rischi di segregation of duties aziendale)
Esistono diversi modi per farlo (manuale o automatico)
- Manualmente
- mandando ad un referente i dettagli del legame ruolo-utente
- Viene effettuato tramite un processo manuale o tramite un software che predispone e controlla il processo automatizzando le fasi di costruzione delle reportistiche, processamento da parte degli approvatori e rimozione automatica degli eventuali ruoli rigettati
- Automaticamente
- viene svolto automaticamente con cadenza stabilita (es. semestrale o annuale)
In entrambi i casi, viene definito il processo di approvazione es. Manager o Role Owner
In questo tipo di processi non viene suggerito di aggiungere ulteriori passaggi approvativi per non appesantire il workflow, soprattutto se manuale.
4 punti di attenzione del processo di certificazione o rivalidazione e controllo dei ruoli SAP
In generale abbiamo osservato che:
- Se il processo è manuale, quindi anche il solo aspetto di costruire il "cosa" dovranno approvare gli approvatori, è molto oneroso in termini di tempo e spesso presenta lacune
- Se il processo è manuale, viene spesso sottovalutato in termini di gestione operativa. Ovvero, chi crea la documentazione da sottoporre agli approvatori? Come viene comunicata? Chi effettua tutti i follow up necessari a fronte degli approvatori? Chi fa i solleciti? Chi raccoglie le evidenze per poi eventualmente processarle?
- Se il processo è manuale è molto probabile che nella maggior parte dei casi risponda solo il 30% della popolazione coinvolta (ed è già un ottimo risultato), possono essere raggiunte percentuali più alte dedicando risorse per i solleciti
- Se non è definito un modello autorizzativo condiviso, soprattutto con il business, questi processi possono essere inutili in diversi casi:
- Gli approvatori non sanno cosa stanno approvando
- Gli approvatori vedono il processo come una perdita di tempo
Questo ultimo punto chiaramente vale in entrambi i casi, che il processo sia automatico o manuale
Processo di validazione del contenuto dei ruoli SAP
In questo caso si fa riferimento alla verifica periodica del contenuto dei ruoli. Infatti, nel corso del tempo, pur avendo definito delle procedure di controllo è possibile che avvengano "deviazioni" al modello.
Anche in questo caso si applica quanto visto in precedenza. Chiaramente è un aspetto più tecnico e specifico (nel caso di rivalidazione dei ruoli SAP) in quanto per approvare il contenuto dei ruoli, bisogna conoscere le transazioni o applicazioni in essi contenute.
Nel caso del sistema SAP GRC Access Control è possibile trovare queste informazioni nella definizione del ruolo stesso, vedi immagine seguente, nelle sezioni di "Certification" e "Role Reaffirm".
Distinguendo inoltre tra chi può essere Role Content Owner o Assignment Approver