Un progetto di revisione delle autorizzazioni (SAP Authorization Review) è uno dei progetti più rilevanti e spesso sottovalutati nell'ambito della sicurezza e della governance dei sistemi SAP. Nel corso degli anni abbiamo affrontato centinaia di iniziative di questo tipo, per organizzazioni con qualche decina di utenti fino a realtà con decine di migliaia di utenze distribuite su più geografie/società.
Uno degli errori più frequenti non è tecnico: è non sapere chi coinvolgere e quando. In questo articolo rispondiamo a questa domanda in modo pratico, partendo da cosa si intende per Authorization Review e da quali sono le ragioni reali per avviarla.
Nel progetto di SAP Authorization Review si rivede integralmente il modello autorizzativo definito nel sistema SAP, analizzando tutte le utenze attive.
L'obiettivo è ripristinare una governance chiara e strutturata degli accessi, sostituendo la stratificazione disorganizzata di permessi che si accumula nel tempo.
Nella maggior parte dei casi questo si traduce nell'introduzione del paradigma Role Based Access Control (RBAC): invece di assegnare permessi utente per utente, spesso copiando le abilitazioni di un "utente di riferimento", si definiscono figure professionali formali che rispecchiano i ruoli aziendali reali, e si assegnano agli utenti in base alla loro funzione.
Senza questo approccio, la situazione tipica è che nel corso degli anni nessuno sa più con precisione chi fa cosa nel sistema: ogni nuovo collaboratore eredita permessi dall'utente di riferimento, i ruoli si stratificano, e la gestione quotidiana delle abilitazioni diventa sempre più lenta, soggettiva e rischiosa. Questo vale per qualsiasi sistema SAP: da SAP ERP a S/4HANA e qualsiasi altro componente dell'ecosistema.
Le motivazioni per avviare una revisione del modello autorizzativo SAP variano a seconda di chi sponsorizza il progetto: Internal Audit, CIO, CISO o CFO; e dei problemi specifici che l'organizzazione sta vivendo. Queste sono le situazioni più frequenti che incontriamo in consulenza:
Spesso non si tratta di una singola ragione, ma di una combinazione cumulativa di queste situazioni. In ogni caso, un progetto gestito con gli obiettivi chiari può portare un ritorno concreto: riduzione dei tempi di gestione, maggiore controllo, e una base solida per le iniziative di compliance e sicurezza successive.
Questo è l'aspetto più critico; e quello su cui si commettono più errori. Il presupposto sbagliato più comune è credere che la società di consulenza esterna possa fare tutto: analizzare il sistema, proporre un modello e consegnare le "chiavi" del nuovo assetto autorizzativo.
È un approccio che non funziona, per una ragione molto semplice: nessuna società esterna conosce i dettagli dei tuoi processi aziendali, e nessuna può decidere "chi fa cosa" al posto tuo. La consulenza può fornire metodo, strumenti e best practice, ma la definizione dei ruoli è e resta una responsabilità interna all'azienda.
Sì, ma a una condizione precisa: che il team IT abbia una conoscenza approfondita di tutti i processi aziendali coinvolti, sia a livello funzionale sia tecnico, e sappia con precisione cosa fanno le persone nel sistema. In questi contesti, un progetto guidato interamente dall'IT produce nel medio-lungo periodo gli stessi risultati di un coinvolgimento diretto del business.
Se questa condizione non è soddisfatta, il coinvolgimento dei responsabili di area non è un'opzione: è un prerequisito.
La durata dipende principalmente da due variabili: il numero di utenze coinvolte e la complessità organizzativa dell'azienda.
La componente che incide di più sulla durata non è quella tecnica, ma quella organizzativa: la disponibilità effettiva dei referenti di business a partecipare alla definizione dei ruoli e la chiarezza degli obiettivi fin dal via.
Abbiamo affrontato progetti di SAP Authorization Review in contesti molto diversi: da società monoprodotto con poche centinaia di utenti a gruppi multinazionali con architetture SAP complesse. In ognuno di questi contesti, il fattore determinante per il successo non è stato lo strumento, ma il metodo e il coinvolgimento delle persone giuste al momento giusto.
Contattaci per scoprire come abbiamo affrontato situazioni simili alla tua e quali approcci potrebbero funzionare nel tuo contesto.