AGLEA Blog

Gli aggiornamenti di SAP sono frequenti. SAP rilascia aggiornamenti di funzionalità ai suoi prodotti ma anche nuove funzionalità o patch security.

Sei orientato ad acquistare SAP Governance Risk and Compliance Access Control? Allora potresti essere interessato a qualche suggerimento per l’acquisto la configurazione e la gestione nel tempo di questo strumento.

Per motivi di policy interne o regolamenti potrebbe essere necessario anonimizzare dei dati gestiti in SAP. Esistono diversi modi per rendere anonimi i dati. I primi elementi su cui concentrarsi sono i seguenti:

• Quali dati anonimizzare
• In quali sistemi/ambienti
• Quali utenti autorizzare
• Come monitorare la conformità della segregazione posta in essere

Progetto Segregation of Duties: quanti rischi devono essere definiti?

In questo momento stai affrontando un progetto di Segregation of Duties (SoD) o dovrai farlo nel futuro? Devi definire i rischi ma non sai quanti?

Per quale motivo le decisioni a fronte delle richieste di abilitazioni spesso ricadono sull’IT?

Perché deve essere l’IT ad identificare quale ruolo attribuire?

Il business dovrebbe formulare le richieste affinché l’IT sia in grado di processarle senza reiterazioni, oppure mettere a disposizione uno strumento che permetta il provisioning automatico delle abilitazioni, magari a seguito di un workflow approvativo. 

Quanto appena descritto, però, spesso non avviene per svariati motivi, vediamo quali sono!

Lo scopo della SoD è quello di assicurare che solo le persone con le competenze adeguate possano eseguire delle transazioni sensibili.

Lo scopo, infatti, è quello di spezzare il processo, in modo tale che un utente non rappresenti un rischio di frode (in quanto troppo potente).

Non sempre tutto ciò è di semplice implementazione ed attuazione e questo per molte ragioni organizzative e tecniche.

Per questo motivo abbiamo ideato una metodologia di gestione della SOD che abbiamo chiamato SOD DARE. Di che cosa si tratta?

A cosa serve?

Questo strumento consente di effettuare una trace a livello applicativo delle attività di una o più utenze SAP.

Può essere inoltre utilizzato per collegare SAP ad un SIEM (Security Information and Event Management) terzo oppure la soluzione SAP Enterprise Threat Detection (ETD).

Quali sono le principali tabelle Security SAP per Ruoli e profili SAP?

SAP contiene centinaia di migliaia di tabelle al suo interno. In alcuni casi l'accesso diretto a queste tabelle permette di recuperare più velocemente le informazioni. 

Di seguito un elenco delle tabelle legate all'area:

• Ruoli SAP
• Profili SAP
• Utenti 
• Autorizzazioni
• Oggetti di autorizzazione

Ecco perché è importante controllare come vengono esportati e da chi sono diffusi

Come controllare i dati che vengono esportati da SAP ECC?

Molti utenti devono essere formalmente autorizzati a farlo, fa parte del loro lavoro. È tuttavia fondamentale, soprattutto in ottica GDPR, controllare come e chi esporta eventuali dati in modo non autorizzato dal sistema SAP.

Come farlo? Vediamo alcuni metodi inclusi nella business suite SAP ed altri a pagamento.

La genesi

Il 25 maggio diventa operativo il “regolamento generale sulla protezione dei dati” conosciuto anche con il termine “regolamento UE 2016/679” o “GDPR” (General Data Protection Regulation).