Matrice SoD GRC Ruleset

Posted by Massimo Manara on Feb 5, 2020 8:15:00 AM
Massimo Manara
Find me on:

Quanto conosci della tua matrice dei rischi?

SAP GRC RULESET

 

Indipendentemente dallo strumento che utilizzi per effettuare l'analisi dei rischi di accesso, potrebbe essere utile approfondire.

 

Che cosa è la GRC Ruleset?

Si tratta della matrice SoD del prodotto GRC Access Control, in particolare del modulo chiamato Access Risk Analysis.

 

In GRC, viene chiamata insieme di regole, ovvero di tutte le combinazioni che vengono generate tra gli oggetti della matrice (action e permission), leggi qui l'articolo di approfondimento.

 

La tieni aggiornata la matrice?

A valle del progetto di gestione della SoD, se non vengono definiti, come previsto della metodologia di gestione della Segregation Of Duties suggerita da SAP, i processi di continuous compliance, la matrice spesso viene abbandonata per anni.

 

Cosa significa questo e cosa comporta ad esempio?

 

  • Le nuove transazioni, custom ma anche standard nel caso di attivazione di nuovi processi non inizialmente previsti, non vengono inserite in matrice (chiaramente nel solo caso siano SoD relevant)
  • Se hai implementato delle organization rule, queste devono essere tenute aggiornate, nel caso in cui siano definiti nuovi livelli organizzativi
  • Nuovi processi o processi dismessi, anche in questo caso deve essere aggiornata la matrice di conseguenza

 

Significa che stai basando le tue analisi dei rischi di accesso su dati non aggiornati e potenzialmente non del tutto corretti. Generando anche dei falsi negativi.

 

Quando sopra è vero solo nel caso del sistema SAP GRC Access Control? In realtà no.

 

Vale potenzialmente per tutti i sistemi che permetto di effettuare delle risk analysis analoghi al SAP GRC Access Control per i sistemi SAP.

 

Ma sei sicuro che non ci siano errori nella tua matrice dei rischi?

Cosa intendo dire? Spesso, anzi, direi quasi sempre la matrice viene caricata in modo massivo nel sistema GRC. Questo comporta, in alcuni casi, che diverse parametrizzazioni non siano corrette.

 

Questo non significa che sia sbagliato caricarla in maniera massiva. Un errore può essere commesso caricandola in maniera massiva ma anche puntualmente.

 

La criticità di quanto sopra può tuttavia portare a dei falsi negativi. Ovvero il sistema non rileva dei rischi potenziali che in realtà ci sono.

 

Ad esempio?

 

1) Transazioni che non esistono a sistema ma sono presenti in matrice (in questo caso non è una criticità vera e propria). Ma perché tenere in matrice dei dati non corretti? In realtà questo aspetto è vero per problemi di "battitura dati" Es. scrivo ME2wN anziché ME22N o casi simili.

 

2) Oggetti che non esistono. Questo è un caso più grave. GRC non troverà mai quella regola. In quanto stiamo chiedendo a GRC di trovare degli oggetti che non esistono a sistema es. M_MSEG_LOG anziché M_MSEG_LGO

 

3) Valori di oggetti che non esistono. Come sopra. Cerco il valore dell'attività 81 quando per un certo oggetto autorizzativo quella attività non è previste. Il GRC in questo caso non troverà mai quella regola a sistema.

 

Sono solo alcuni esempi, per questo motivo, come Aglea, abbiamo definito una serie di regole di verifica della matrice dei rischi.

 

Certo, non stiamo parlando di errori o mancanze a livello di processo, questo sarebbe più difficile da rilevare (richiede un investimento maggiore di tempo rispetto a rilevare errori tecnici). Ma anche l'aspetto tecnico della matrice deve essere considerato.

 

 

Sei davvero sicuro che nella tua matrice non siano presenti errori tecnici?

 

Iscriviti al blog se ancora non lo hai fatto!

Topics: SAP GRC, sod, falsi positivi, sod ruleset, analisi dei rischi

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutte