SAP Role and User Administration: quali sono le metriche?

Posted by Massimo Manara on Nov 13, 2019 12:00:00 AM

 

Come è possibile capire se si è impostato un buon concetto autorizzativo in SAP?

02 Infografica

 

Quali sono le metriche e come sfruttarle al meglio? Esiste un SAP Security Score?

Partiamo dalle figure professionali

Cosa significa?

 

Quando rivedi o progetti le autorizzazioni nei sistemi SAP, dovresti ragionare per figura professionale o anche job role.

 

L'obiettivo è quello di evitare la creazione di ruoli o abilitazioni che siano

  • esclusive per utente, ovvero ad personam
  • presenza di duplicazioni ingiustificate, ruoli fotocopia
  • limitazione della ridondanza delle transazioni SAP. Dovrebbero essere nel minor numero possibile di ruoli
  • il numero delle figure professionali dovrebbe essere tra il 10% e il 30% degli utenti definiti a sistema

 

01 Infografica

 

Gli oggetti autorizzativi

Cosa sono e come si dovrebbe ragionare?

 

Servono per andare a segregare delle specificità all'interno delle transazioni SAP.

 

Facciamo un esempio.

 

Tramite la transazione per creare gli ordini di vendita vorrei segregare chi può gestire o vedere determinati tipi documento di vendita da altri. Posso farlo?

 

Sì, tramite gli oggetti autorizzativi. Sono più di 3000 gli oggetti autorizzativi che controllano le varie transazioni SAP. Spesso sono in comune con altre transazioni.

 

È quindi importante siano gestiti correttamente per evitare di assegnare impropriamente delle autorizzazioni ad utenti.

 

Ma come ragionare quindi? Devo conoscerli tutti? Devo gestirli tutti comunque ed in ogni caso?

No. Spesso sono pochi gli oggetti da dover gestire.

 

Bisogna concentrarsi solo su quelli realmente necessari. La gestione di questi oggetti comporta infatti una manutenzione rilevante.

 

La media degli oggetti autorizzativi realmente usati è di 15 su più di tremila.

 

La gestione della segregation of duties

Di cosa si tratta? Approfondisci qui.

 

Come e quanto? Partiamo dalla numerosità dei rischi. Mediamente sono censiti all'interno della matrice dei rischi 114 rischi.

Attenzione, questo, come le varie metriche presenti dipende dalla struttura della società, da quanti moduli e sistemi ha attivi.

Può essere sicuramente utile partire con pochi rischi ed incrementare a seguito, dopo aver affrontato tutte le varie fasi di un progetto di gestione della segregation of duties:

  • Definizione dei rischi
  • Risk analysis
  • Remediation
  • Mitigation
  • Continous Compliance

 

Spesso molto sottovalutata la fase di Mitigation e Continous Compliance. In realtà queste fasi potrebbero essere dei progetti a se stanti.

 

Anche il numero delle transazioni SAP coinvolte è sicuramente un indicatore. Certo dipende da quanti moduli sti stanno utilizzando, da quanti sistemi coinvolti e così via ma mediamente una matrice SoD può avere 600 transazioni. In SAP ECC il numero di transazioni totali definite è più di centomila.

 

Aspetto legato alle transazioni, da non sottovalutare, sono tutte le transazioni custom. Anche queste devono essere considerate. Molto frequente infatti è possibile trovare situazioni dove una transazione custom è più critica rispetto a una o più standard.

 

Perché questo?

 

Per semplificare la vita agli utenti o su richiesta dei vari dipartimenti aziendali, vengono definite delle transazioni che permettono di svolgere più operazioni.

 

Purtroppo l'unione di più attività (che nello standard potrebbero ricadere in transazioni diverse) può portare alla generazione di transazioni custom "self conflicting" ovvero chi possiede quella transazione diventa automaticamente a rischio.

 

In questi casi devono essere quindi tenute conto anche di queste situazioni che potrebbero emergere.

 

In ottica SoD devono essere inserite tutte le transazioni custom che hanno un impatto sui processi SoD relevant. Quindi in scrittura o modifica.

 

Le transazioni custom SAP

Potrebbe essere analizzato da diversi punti di vista. Partiamo da quello dei volumi in senso assoluto. Passiamo da clienti con 500 transazioni custom a più di 5000.

 

Parliamo di transazioni realmente utilizzate non solo quelle definite a sistema. In questo ultimo caso il numero potrebbe essere ancora maggiore.

 

Il grafico seguente mostra per un sottoinsieme (20) delle società sopra analizzate, divise per settori (Automotive, Bank, Betting, ICT, Manufactoring, Media, Pharma, Utility) il numero di:

  • transazioni custom SAP definite ed attive (tutte le transazioni che iniziano con Z* o Y*)
  • transazioni custom utilizzate
  • transazioni standard utilizzate

 

Transazioni_SAP_Custom

Se la colonna Arancione è uguale a quella Blu significa che tutto il custom definito, a livello transazionale è in uso. Altrimenti, se la colonna Arancione è più alta, molte delle transazioni custom attive non sono in realtà usate.

 

E tu hai bloccato le transazioni custom definite ma che non usi?

 

 

 

 

 

 

 

 

 

Topics: User Access Management, autorizzazioni sap, sap custom, Statistiche security SAP

Iscriviti qui!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti