Come è possibile sapere se quello che facciamo in azienda sulle tematiche di sicurezza e protezione dei dati (per SAP) è avanzato o meno?

Quanto siamo maturi su questi aspetti?

Maturità aziendale

Essere maturi sulle tematiche di protezione dei dati non necessariamente significa essere super efficienti. Nell'immaginario collettivo si è portati a credere che in una realtà molto avanzata tutto funzioni senza problemi e per ogni attività ci sia un flusso ben preciso.

La realtà spesso, soprattutto nelle attività di consulenza che svolgiamo, ci porta a vedere che le aziende che maggiormente tengono a questi argomenti, hanno dei tempi di reazione maggiori e non sempre i processi sono efficientati rispetto ad altre realtà.

Non vorrei essere frainteso, sicuramente è meglio pensare a questi argomenti. È chiaro che se in azienda "non ci si pone il problema" è tutto più veloce e snello. Ma è corretto? 

Per fare un esempio, se non hai "errori" autorizzativi significa che molto probabilmente non stai gestendo con precisione le autorizzazioni. Estremizzando se tutti gli utenti avessero il famoso profilo "SAP_ALL" non esisterebbero chiamate di utenti con problemi autorizzativi. Sarebbe molto efficiente a livello di operation ma non conforme a livello di compliance. 

È importante quindi trovare un proprio compromesso. Non esiste un unico modello (parlo in generale di gestione della sicurezza SAP, quindi non solo profilazione) applicabile indistintamente ad ogni azienda.

Ogni azienda conosce o può valutare quali sono le possibilità attività da fare. Ma non vale per tutte in maniera indiscriminata una determinata attività. Prendiamo ad esempio l'analisi del codice per quanto riguarda gli aspetti di sicurezza. 

In alcune realtà potrebbe essere impensabile introdurlo (per ora), in altre sarebbe impensabile non farlo.

Ancora una volta un discriminante importante è l'aspetto soggettivo di ogni organizzazione e quindi la propensione al rischio.

Ne è prova anche il fatto che a seguito di un problema, spesso si è più sensibili sulla tematica. Rispetto a prima di un determinato evento dove non lo si vede come "possibile problema".

Anche se, in alcuni casi, lo svolgere in anticipo determinata scelte può essere utile e può far risparmiare tempo. Pensa ad esempio all'introduzione delle logiche di separazione dei compiti aziendali.

L'introduzione di queste logiche in "tempi non sospetti" seppur possa essere più complicata, dato che potrebbe non avere sufficientemente sponsorship, potrebbe far risparmiare tempo e denaro nel momento in cui diventa obbligatoria di fatto per l'azienda.

Quanti casi abbiamo visto di progetti fatti per necessità rispetto a lungimiranza, non molti. Questi ultimi, tuttavia, hanno permesso all'azienda di risparmiare molto tempo e denaro. Ma non in tutti casi c'è questa lungimiranza. Spesso è il problema o emergenza del "momento" a guidare le attività.

Quali i modelli per affrontare la protezione e compliance dei dati in SAP?

Ma quindi cosa fare? Puntare troppo in alto da subito non è sempre percorribile.

Per questo motivo in determinati contesti proponiamo diversi percorsi che guidano l'azienda in un percorso di maturità aziendale su queste tematiche. A seconda del momento, del contesto, e della visione strategica (se presente o meno).

• È quindi sbagliato partire utilizzando eventuali template fornitori da SAP?
• È corretto utilizzare dei template o acceleratori pre-definiti?
• Serve davvero affrontare tutti gli argomenti oppure è meglio presidiarne uno solo per iniziare? Cyber Security o Sicurezza applicativa? O protezione degli sviluppi? etc..

Contattaci per scoprire in dettaglio come possiamo aiutarti in questo percorso.