RISE SAP - SAP Security

Ma cosa è SAP RISE e cosa ci si deve aspettare relativamente agli aspetti di gestione della sicurezza e protezione dei propri dati?

Cos'è RISE with SAP?

Si tratta di un servizio, gestito tramite una unica sottoscrizione, che viene offerto dalla SAP, il quale permette di ospitare i tuoi sistemi in cloud e fornirti dei servizi.

Chi oggi ha un sistema SAP ERP può decidere di adottare RISE facendo così in modo che sia SAP direttamente ad occuparsi di "tutti" quegli aspetti legati ad esempio all'infrastruttura o il database principalmente. 

Si può usufruire di RISE in diverse forme, totalmente cloud (public) nel caso di SAP S/4HANA Cloud oppure private con SAP S/4HANA. Esiston sotanzialmente due percorsi distiniti.

• RISE with SAP -> Per società enterprise
• GROW with SAP -> Per società PMI

Cosa dovrai gestire tu e cosa SAP?

Questo è l'aspetto importante perché come spesso accade in questo genere di servizi, alcune attività svolte da te nel passato potrebbero non essere nemmeno più disponibili. Questo può essere un vantaggio o svantaggio a seconda dei casi.

Nell'adozione di RISE, non avrai, ad esempio, più accesso al database o al sistema operativo. Per svolgere determinate azioni (che solitamente erano a carico dei sistemisti) sarà necessario aprire una richiesta alla SAP che risponderà nei tempi di servizio.

Quindi se da un lato gli aspetti di compliance ad esempio saranno totalmente gestiti dal provider alcune libertà precedenti non saranno più possibili.

Attenzione il livello applicativo, al momento, è gestito comunque dal cliente. Quindi, ad esempio, tutti gli aspetti di profilazione utente rimangono a carico del cliente.

Role and Responsabilities in RISE with SAP?

Ovvero cosa fa SAP e cosa deve fare il cliente? Puoi vedere la lista (non proprio corta, quasi ottanta pagine) andando al collegamento seguente sito SAP - Informazioni "Trust Center" -> Agreements e quindi parte Cloud

Succesivamente "SAP S/4HANA Cloud, and ERP Cloud Services Documentation"

Potrai trovare qui il documento chiamato Roles and Responsabilities

Anche nel documento oltre al collegamento è possibile trovare la versione e data

Qui puoi trovare la suddivisione dei compiti tra servizi inclusi/esclusi, servizi aggiuntivi (CAS - Cloud Application Services), servizi opzionali etcc.

Ma cosa contiene la sezione SAP Security Management?

Come nell'esempio sopra, la definizione del modello autorizzativo, non rientra "Excluded Task". Mentre l'applicazione delle patch security richiede un servizio aggiuntivo, così come la gestione di utenti e ruoli.

Così come sono escluse (se non a pagamento), ad esempio, le verifiche di Segregation Of Duties, l'analisi che il sistema sia correttamente configurato dal punto di vista applicativo (relativamente agli aspetti di protezione dei dati).

Può avere senso sfruttare RISE with SAP quindi?

Si, può sicuramente avere senso valutarlo e sfruttarlo nel caso in cui si voglia delegare tutta una serie di controlli "da un certo livello in giù" al fornitore (SAP in questo caso). Questo per quanto riguarda gli aspetti di sicurezza. Molte altre sono chiaramente le valutazione relativamente al contesto aziendale (non per ultima la tematica delle licenze ad esempio il FUE).