Gestione delle risorse umane e sicurezza IT

Posted by Massimo Manara on Aug 26, 2020 8:15:00 AM
Massimo Manara
Find me on:
LinkedIn

La gestione delle risorse umane e l'organizzazione hanno un ruolo fondamentale nella gestione di alcuni degli aspetti legati alla sicurezza delle informazioni.

HR_ORGANIZZAZIONE

Anche in SAP questo è fondamentale sotto diversi aspetti. Di gestione dei processi aziendali e di gestione del ciclo di vita delle utenze.

Ma perché ancora oggi l'HR è così "scollegato"?

In passato era un tabù parlare durante un incontro con l'IT di come avere dei dati gestiti dalle risorse umane. Non sto parlando di dati "sensibili", ma di informazioni, in alcuni casi "pubbliche", all'interno dell'azienda, ad esempio chi è il tuo manager.

 

Ancora oggi in alcune realtà è così (fortunatamente non in tutte). Le informazioni legate alle nuove assunzioni oppure alle cessazioni oppure i cambi di mansione sono ancora trasferite con il contagocce e basate su processi non strutturati, ad esempio via mail.

 

Quali sono i limiti di questa impostazione?

La mancata condivisione delle informazioni legate al ciclo di vita dei dipendenti/utenze e quindi delle loro utenze, ad esempio:

 

  • Le nuove assunzioni
  • I cambi di mansione
  • Le cessazioni

 

comportano delle difficoltà oggettive nella gestione delle utenze. Soprattutto quando i sistemi sono svariati. Anche in realtà "piccole" possono essere decine, leggi qui perché è importante valutare un sistema di gestione delle identità (Identity Management).

 

Non solo per i dipendenti ma anche per i collaboratori. Se tutto è legato al sistema di HR, come dovrebbe essere, anche esterni o collaboratori (che necessitano di accessi) dovrebbero essere censiti. Per ognuno di loro dovrebbe esistere un contratto/ordine che permetta di giustificare la loro presenza e soprattutto regolamentarne azioni e validità. Ed anche uno sponsor o referente aziendale (come se fosse il manager nel caso dei dipendenti).

 

Comportata un extra-effort per il dipartimento HR. Sì, anche in base ai volumi degli esterni da "gestire" questo può comportare sicuramente un lavoro aggiuntivo. Ma è a mio avviso necessario per avere sotto controllo cosa accade nei propri sistemi. Almeno per quanto riguarda la gestione delle utenze.

 

Cosa puoi fare?

 

  • Collegare i tuoi sistemi SAP (ma anche non SAP) ad un sistema HR dove queste informazioni sono censite e gestite (almeno per le assunzioni e cessazioni), non dimenticarti però degli esterni o di quei casi che non rientrano nella gestione dei dipendenti (employee)
  • Utilizzare il sistema SAP GRC Access Control, tramite il modulo Access Request Management puoi attivare una funzionalità di collegamento nativa con SAP HR o SAP HCM (chiamata HR Triggers)
  • Utilizzare un sistema di gestione delle identità SAP Identity Management ad esempio o sistemi terzi

 

Non solo sugli aspetti del ciclo di vita delle utenze ma anche rispetto alla mappatura dei processi aziendali.

 

Quanto è importante averla e mantenerla nel tempo? A mio avviso fondamentale. Tuttavia poche società ancora oggi non contemplano i vantaggi di avere una mappatura dei processi aziendali e di averla aggiornata.

 

Ad esempio:

  1. Sapere chi fa cosa o chi dovrebbe farlo
  2. Possono essere utili durante le attività di gestione delle Segregation Of Duties

 

Il primo punto non è da sottovalutare. In quanto in diverse situazioni si tende ad agire bottom-up rispetto ad un approccio top-down.

 

Cosa intendo dire? Quando alla domanda, ma come funziona il vostro processo? Non ci sono risposte oppure si avvia un racconto basato su tradizioni orali.

 

A quel punto si cercano strumenti per agire bottom-up e capire come funziona il proprio process attualmente. Andando poi a correggere o scoprendo situazioni non previste. Nel caso di SAP attraverso strumenti come SAP Process Mining by Celonis.

 

Non sono ovviamente contro questo approccio, in realtà complesse è difficile avere tutto sotto controllo. Tuttavia, a mio avviso, sarebbe ideale avere una propria mappatura e capire quanto essa è difforme, anche attraverso gli strumenti sopra.

 

Qual è il punto di connessione?

Affinché possa davvero avvenire una trasformazione digitale (Digital Transformation) su queste tematiche deve esserci una forte collaborazione ed integrazione tra questi dipartimenti.

 

  • Definisci un processo di gestione delle utenze (non solo pensato a SAP ma in generale per tutti gli applicativi). Non serve avere da subito un sistema di Identity
  • Fai in modo che la struttura dell'HR ed organizzazione conoscano seppur in maniera superficiale i processi SAP
  • Attiva la connessione tra SAP HR (se utilizzi SAP HR) e S/4HANA "Business User", in questo modo puoi collegare due "mondi" che in passato erano non così uniti
  • Definisci un catalogo di mestieri aziendali o job role o figure professionali. Queste possono essere usate anche al di fuori da SAP, tramite il concetto di Business Role aziendale

 

Iscriviti al blog se ancora non lo hai fatto!

 

Topics: SAP GDPR, SAP GRC, SAP HR, risorse umane, organizzazione, trasformazione digitale

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy