Come la Segregation of Duties ti aiuta a proteggere i dati aziendali?
Ogni società ha delle normative alle quali fare riferimento. Che siano a livello nazionale, internazionale o certificazioni di settore. Ad esempio:
Ognuna di queste normative porta con sé un effort di gestione per il raggiungimento delle certificazioni e per il loro mantenimento. È molto frequente trovare il principio della Segregation of Duties in molte delle normative sopra.
Quanto la SoD può essere di aiuto nel rispettarle?
La separazione dei compiti è un metodo per gestire i conflitti di interesse e, quindi, le frodi. L’obiettivo è quello di ridurre la possibilità che un individuo possa svolgere più parti di un certo processo. Nel contesto legislativo italiano, tramite il Dlgs. 231/2001 art. 6 comma 2, viene riportata la necessità di studiare i processi aziendali al fine di individuare le attività nel cui ambito possono essere commessi reati.
SAP è un sistema gestionale ERP (Enterprise Resource Planning) che permette di governare i vari processi aziendali ad esempio, quelli amministrativi e finanziari, gli aspetti logistici, gli acquisiti, la produzione e manutenzione, le risorse umane.
Affinché sia possibile capire come gestire la Segregation of Duties (SoD), è importante prima di tutto ragionare per processi ed individuare in seguito quali sistemi informatici e non operino su questi.
È molto frequente nelle aziende che, per coprire un processo interno (ad esempio quello degli acquisiti), sia necessario lavorare su diversi sistemi. Ad esempio, nel primo sistema svolgo la selezione dei fornitori, mentre nel secondo gestisco tutti gli aspetti amministrativi dello stesso.
Ragionando con la terminologia dei sistemi SAP, potrei utilizzare il sistema SAP SRM Supply Relationship Management per la gestione dei fornitori, e svolgere parti del processo amministrativo nel sistema SAP ECC (ERP Central Componente).
Diventa quindi fondamentale capire se i processi SoD relevant siano all’interno dell’ecosistema SAP, all’esterno o “cross system”: dove con questo termine si può intendere che l’analisi SoD sia svolta su più sistemi SAP (vedi il caso precedente), oppure su sistemi SAP e non SAP.
All’interno dei sistemi informativi ed informatici esistono moltissime informazioni rilevanti e strategiche per l’azienda. Tuttavia, a causa dell’immaterialità delle stesse, viene in alcuni casi percepita una bassa attenzione alla criticità di tali dati.
Quali sono i dati strategici per l’azienda ai quali spesso non pensiamo? Quali sono le casistiche che potrebbero creare un danno d’immagine o economico?
Ecco un breve elenco:
Quanto può essere semplice estrarre da SAP le informazioni riportate sopra avendo accesso diretto alle tabelle SAP?
Ricordati che in SAP è anche possibile tracciare chi ha esportato cosa!
La Segregation of Duties è sicuramente uno dei metodi per rendere più sicuro un sistema gestionale.
Ecco in che modo può essere utile:
Devi implementare un modello di controllo? Ne hai già definito uno ma non sei sicuro sia realmente efficace? Parliamone!