SAP Roll Out Security, 8 punti di attenzione

Posted by Massimo Manara on Oct 20, 2021 8:15:00 AM
Massimo Manara
Find me on:
LinkedIn

È molto frequente per società multinazionali oppure gruppi industriali con molte società, a seguito dell'installazione di SAP, effettuare dei rilasci graduali.

Rollout

 

In altre parole, inglobare o replicare quanto fatto dalla casa madre, anche nelle filiali estere o altre società del gruppo. Ma quali sono le trappole di questo processo molto comune? E come evitarle?

1) Programmi custom con authority check

Questo è da sempre una nota dolente in tutti i progetti. Non c'è il tempo, non era stato pensato inizialmente, programmi obsoleti che nessuno più conosce.

 

Alla fine, il risultato di questo processo è che programmi che svolgono azioni critiche a sistema (non necessariamente ad impatto di segregation of duties) non contengano gli oggetti autorizzativi necessari al controllo delle loro funzionalità.

 

Spesso ci si accorge di questa mancanza quando si va proprio su altre società o all'estero. In quel momento la transazione o programma che viene rilasciato agli utenti delle filiali, non avendo controlli autorizzativi, si rivela problematico.

 

Quanto costa sistemare queste occorrenze quando è tutto live? Meglio farlo prima!

 

2) Descrizione dei ruoli

Viene sempre trascurato anche questo aspetto. Le descrizioni dei ruoli sono language dependent.

 

Significa che se crei i ruoli in lingua italiana, se un tuo collega inglese si collegherà in lingua inglese, non vedrà le descrizioni che hai creato tu in italiano.

 

Definisci prima di partire, se possibile, il tuo master language e fai in modo che tutte le descrizioni dei ruoli siano in quella lingua. Evita quindi di:

 

  • Evita di usare impropriamente le descrizioni. Es. ruolo in lingua inglese ma con descrizione in italiano
  • Evita se puoi le traduzioni. Richiedono molto impegno per essere mantenute, potenzialmente in tutte le lingue
  • Se installi delle nuove lingue nel sistema ricordati di eseguire il programma (PRGN_CORRMEN2)

3) Modello autorizzativo comune

Definisci un unico modello autorizzativo (anche su sistemi SAP diversi, dove possibile) che poi sarà declinato nelle società o filiali. Chiaramente dovrà essere adattato (vedi anche punto 8 seguente)

 

4) Single Sign On

Ancora la password da gestire? Il 40% delle richieste che arrivano durante il supporto help desk  (SAP AMS) sono relative a problemi di accesso. Utilizza un meccanismo unico di autenticazione, centralizzato.

 

5) Molteplici transazioni per lo stesso processo

Questo punto leggermente diverso dal primo. In alcune situazioni invece di creare una transazione con un oggetto autorizzativo, per la segregazione delle società o del dominio dati, sono create n transazioni per ogni paese. Questo ha diversi svantaggi.

 

  • Più programmi e/o transazioni da gestire
  • Non viene definito un oggetto autorizzativo, standard o custom, per gestire la segregazione
  • A parità di funzione aziendale, costringe ad usare ruoli tecnicamente diversi. Ad esempio, immagina di avere il ruolo per la gestione dei "periodi contabili SAP" in questo caso la transazione per la gestione di questo processo è una sola (potrebbero essere diverse per SAP, ma concettualmente è la stessa). In questo caso verrebbe gestita in un unico ruolo declinato per società. Creando transazioni diverse andrebbero definiti molteplici ruoli ad hoc per paese o società
  • Si parte da un caso come questo e ci si allarga. "Lo abbiamo già fatto in questa situazione, facciamolo di nuovo"

 

6) Gestione locale IT

Non escluderlo a priori, soprattutto se lavori con fusi orari molto diversi dal tuo e devi garantire una copertura che va oltre le ore lavorative.

 

Per fare in modo che i colleghi siano allineati e non commettano "errori" il modello autorizzativo deve essere un orologio svizzero. Non devono esserci modi per sbagliare o decisioni soggettive libere.

 

7) Gestione della SOD locale

Fai in modo che i processi legati alla SoD (Segregation Of Duties) abbiano dei referenti di business ed IT locali. Questo può agevolare la gestione di questo processo.

 

8) Job role specifici o modello kernel?

Nel caso in cui ci siano delle filiali molto piccole, non sempre è possibile riutilizzare le figure professionali definite per headquarter. Ma quali le soluzioni principali allora?

 

  • Definire dei delle figure professionali ad hoc per la filiale/paese
  • Utilizzare un modello Kernel più add-on role

 

Anche se meno semplice da gestire all'inizio, bisogna familiarizzare un po', a mio avviso il secondo modo è quello migliore.

 

E tu cosa ne pensi? Anche a te è capitato qualcosa di simile sopra? Altri suggerimenti o punti di attenzione?

Iscriviti al blog se ancora non lo hai fatto!

Topics: authorization concept, authorization model, sap roll out, multicompany sap security

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy