Come ti può aiutare Aglea a gestire la Segregation of Duties?

Posted by Massimo Manara on Dec 17, 2018 12:00:00 AM

Lo scopo della SoD è quello di assicurare che solo le persone con le competenze adeguate possano eseguire delle transazioni sensibili.

 

Lo scopo, infatti, è quello di spezzare il processo, in modo tale che un utente non rappresenti un rischio di frode (in quanto troppo potente).

 

Non sempre tutto ciò è di semplice implementazione ed attuazione e questo per molte ragioni organizzative e tecniche.

 

Per questo motivo abbiamo ideato una metodologia di gestione della SOD che abbiamo chiamato SOD DARE. Di che cosa si tratta?

 

iStock-873468738

 

Progetto di gestione della SoD in azienda? Semplificalo!

 

 

1. SoD DARE? Cosa significa?

Iniziamo dal nome, DARE è un acronimo che comprende quattro step:

  • Definisci cosa è critico
  • Analizza lo stato del sistema
  • Remediation e Mitigation dei rischi
  • Essere sicuri della conformità nel tempo

 

Si tratta di una metodologia che abbiamo sviluppato ed affinato dagli anni duemila (prima dell’avvento delle normative specifiche) fino ad oggi.

 

Ti aiutiamo grazie a dei template già pronti ed acceleratori di progetto a gestire la Segregation of Duties in azienda nelle varie fasi di gestione che essa prevede.

 

2. Quando e dove è particolarmente utile

Dalla definizione della matrice di incompatibilità - che spesso non è solo su SAP - all’analisi dei vari sistemi.

 

Abbiamo creato un nostro strumento di analisi chiamato Security Analyzer che permette di effettuare una analisi di separazione dei compiti in assenza di altri strumenti aziendali.

 

Il software è in grado di utilizzare una matrice di analisi su SAP (e non) e di fornire dei risultati utili a prendere la decisione per capire se attivare una remediation o mitigation.

 

Abbiamo inoltre definito un modello, tramite l’utilizzo di software terzi, di identificazione delle transazioni custom che hanno un impatto SoD in maniera semiautomatica. Questo infatti è particolarmente utile per quei clienti che hanno moltissimo custom in uso, spesso non documentato e/o sconosciuto.

 

3. Quanto è importante la fase di remediation e mitigation e come viene affrontata

Abbiamo definito dei modelli per capire cosa fare nel sistema SAP quando gli utenti hanno dei rischi.

 

Una delle domande più comuni, durante la fase di remediation, - ovvero quella fase dove devono essere rimossi i rischi, - è quella di capire come rimuovere i rischi senza causare delle ostruzioni al business.

 

In questa fase, se non si interviene in modo organizzativo, è necessario andare a modificare le abilitazioni degli utenti per rimuovere i rischi ad essi associati.

 

È molto probabile quindi, per la difficoltà del concetto autorizzativo SAP, causare dei blocchi ai reparti di business.

 

Utilizziamo degli algoritmi creati ad hoc per effettuare delle simulazioni what-if.

 

La fase di mitigation, in aggiunta, è una delle fasi più critiche. Abbiamo visto molti progetti di Segregation of Duties terminare con la fase di remediation. Per questo motivo, abbiamo definito una libreria di controlli compensativi già pronti all’uso che possono essere facilmente adottati o adattati caso per caso.

 

Questo permette di ridurre notevolmente gli sforzi necessari per la definizione dei controlli mitigativi. In aggiunta, per alcuni clienti, forniamo un servizio di mitigation controls.

 

Cosa significa?

 

Utilizzando il nostro software, ed avendo definito in precedenza dei controlli template e delle procedure necessarie per testarli, produciamo periodicamente (a seconda della frequenza del controllo) tutte le evidenze dello stesso.

 

4. Cosa fare nella gestione ordinaria?

Una volta terminato il progetto, non si conclude il processo di gestione della Segregation of Duties: deve essere portato avanti dalla società.

 

Per questo motivo, abbiamo definito delle procedure e dei controlli che la società può decidere di utilizzare nella gestione ordinaria delle attività.

 

Alcuni di questi possono essere facilmente resi operativi tramite l’utilizzo del software Security Analyzer. Questo software permette, infatti, di avere al suo interno una serie di controlli periodici in ottica SoD. Tra questi la funzionalità di rivalidazione periodica delle utenze e dei ruoli tramite una funzionalità di web reporting e worflow approvativi.

 

Abbiamo inoltre costruito nel nostro software, nel caso in cui non sia presente in azienda proprio software di controllo, una modalità di verifica SoD preventive.

 

Ovvero ad ogni modifica nel sistema è possibile analizzare in anticipo quali impatti sulla segregation of duties ci saranno.

 

Leggi la case history di Ariston Thermo per un approfondimento sulla tematica.

 

Topics: Segregation of duties

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti