Come la Segregation of Duties ti aiuta a proteggere i dati aziendali?

Posted by Massimo Manara on Nov 24, 2018 2:38:47 PM
Massimo Manara
Find me on:

Come la Segregation of Duties ti aiuta a proteggere i dati aziendali?

 

SOD Dati aziendali sap

 

 

Ogni società ha delle normative alle quali fare riferimento. Che siano a livello nazionale, internazionale o certificazioni di settore. Ad esempio:

  • Certificazioni ISO
  • Normative nazionali come il Dlgs. 231/2001 e Legge 262/2005
  • Dlgs 101/2018 per l’adeguamento al regolamento europeo (2016/679) in materia di protezione dei dati personali GDPR
  • GxP ad esempio per società farmaceutiche
  • Nota Fiscal elettronica
  • SoX, JSoX
  • Policy interne

Ognuna di queste normative porta con sé un effort di gestione per il raggiungimento delle certificazioni e per il loro mantenimento. È molto frequente trovare il principio della Segregation of Duties in molte delle normative sopra.

 

Quanto la SoD può essere di aiuto nel rispettarle?

La separazione dei compiti

La separazione dei compiti è un metodo per gestire i conflitti di interesse e, quindi, le frodi. L’obiettivo è quello di ridurre la possibilità che un individuo possa svolgere più parti di un certo processo. Nel contesto legislativo italiano, tramite il Dlgs. 231/2001 art. 6 comma 2, viene riportata la necessità di studiare i processi aziendali al fine di individuare le attività nel cui ambito possono essere commessi reati.

 

SAP è un sistema gestionale ERP (Enterprise Resource Planning) che permette di governare i vari processi aziendali ad esempio, quelli amministrativi e finanziari, gli aspetti logistici, gli acquisiti, la produzione e manutenzione, le risorse umane.

 

Affinché sia possibile capire come gestire la Segregation of Duties (SoD), è importante prima di tutto ragionare per processi ed individuare in seguito quali sistemi informatici e non operino su questi.

 

È molto frequente nelle aziende che, per coprire un processo interno (ad esempio quello degli acquisiti), sia necessario lavorare su diversi sistemi. Ad esempio, nel primo sistema svolgo la selezione dei fornitori, mentre nel secondo gestisco tutti gli aspetti amministrativi dello stesso.

Ragionando con la terminologia dei sistemi SAP, potrei utilizzare il sistema SAP SRM Supply Relationship Management per la gestione dei fornitori, e svolgere parti del processo amministrativo nel sistema SAP ECC (ERP Central Componente).

 

Diventa quindi fondamentale capire se i processi SoD relevant siano all’interno dell’ecosistema SAP, all’esterno o “cross system”: dove con questo termine si può intendere che l’analisi SoD sia svolta su più sistemi SAP (vedi il caso precedente), oppure su sistemi SAP e non SAP.

 

La segregation of duties per proteggere la tua proprietà intellettuale!

 

 

Perché è importante proteggere i dati aziendali?

All’interno dei sistemi informativi ed informatici esistono moltissime informazioni rilevanti e strategiche per l’azienda. Tuttavia, a causa dell’immaterialità delle stesse, viene in alcuni casi percepita una bassa attenzione alla criticità di tali dati.

 

Quali sono i dati strategici per l’azienda ai quali spesso non pensiamo? Quali sono le casistiche che potrebbero creare un danno d’immagine o economico?

 

Ecco un breve elenco:

  • L’anagrafica dei clienti. Immagina se fosse accessibile ad un tuo competitor: potrebbe iniziare a svolgere delle azioni mirate per sottrarre dei clienti!
  • Se gli sconti fatti a tuoi clienti fossero accessibili a dei tuoi competitor, sarebbe un’informazione aggiuntiva per erodere quote di mercato alla tua azienda;
  • Nel caso di sistemi informativi per la gestione del personale, se gli stipendi fossero accessibili e visibili da competitor, potrebbero allontanare risorse strategiche dall’azienda
  • La distinta base di un certo prodotto. Che cosa accadrebbe se fosse nelle mani della concorrenza?
  • Disegni di componenti di prodotti aziendali, spesso in SAP sono archiviati i documenti tecnici dei vari prodotti aziendali

 

Quanto può essere semplice estrarre da SAP le informazioni riportate sopra avendo accesso diretto alle tabelle SAP?

 

Ricordati che in SAP è anche possibile tracciare chi ha esportato cosa!


Come la Segregation of Duties ti può aiutare?

La Segregation of Duties è sicuramente uno dei metodi per rendere più sicuro un sistema gestionale.

 

Ecco in che modo può essere utile:

  • Identificare quali siano i processi aziendali a rischio, a livello non solo di singolo sistema ma anche aziendale
  • Definire i vari owner necessari alla gestione quotidiana della Segregation of Duties
  • Identificare le criticità di business e separare le responsabilità
  • Effettuare un monitoraggio periodico degli accessi
  • Identificare dei controlli da porre in essere per limitare o verificare/validare l’insorgenza di rischi
  • Valorizzare il modello di controllo interno

 

Devi implementare un modello di controllo? Ne hai già definito uno ma non sei sicuro sia realmente efficace? Parliamone!

Iscriviti al blog se ancora non lo hai fatto!

 

 

Topics: SAP Security, governance, ISO, sod

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutto