Esistono diversi strumenti sul mercato per la gestione delle autorizzazioni SAP ma più in generale per la security SAP.
In alcuni casi di fatto sostituiscono potenzialmente soluzioni SAP, in altri casi sono complementari. Ma quali sono questi strumenti e quando conviene valutarne l'adozione?
Quali sono le tipologie di software per la gestione della Security SAP?
Ne esistono diverse tipologie, a mio avviso raggruppabili nelle seguenti macrocategorie:
- Gestione delle identità aziendali
- Gestione della Segregation Of Duties (SoD)
- Gestione delle vulnerabilità aziendali
- Gestione dello sviluppo sicuro (secure coding)
- Automatizzazione operazioni ripetitive nella gestione delle autorizzazioni
In alcuni casi solo per SAP, in altri anche per sistemi non SAP.
Ma quando valutare se serve o meno uno strumento di questo tipo?
Possono essere chiaramente diverse le ragioni nell'adottare uno di questi strumenti. Non solo gli aspetti economici chiaramente. Direi le seguenti:
- Tipo di necessità o esigenza
- Copertura del prodotto per le soluzioni già presenti in azienda
- Facilità di utilizzo
- Aspetto economico
Per il punto 1 sopra, credo sia l'aspetto più rilevante ovviamente. La prima valutazione da fare è capire il motivo di questa esigenza, ad esempio:
- Si tratta solo di una richiesta ICT oppure Business?
- La richiesta deriva da certificazioni da ottenere (es. ISO27001 o altre)
- Conformità a normative o migliore gestione di non conformità a fronte di audit interni?
Non sottovaluterei gli aspetti di integrazione con strumenti esistenti. Può essere frequente trovare in azienda molti strumenti, in alcuni casi con sovrapposizioni totalmente scollegati tra loro. Come se ci sia un acquisto fatto per una specifica esigenza ma senza avere una visione d'insieme del landscape globale.
In consulenza ho trovato spesso situazioni dove l'azienda nemmeno sapeva i software installati o acquistati. A volte hai già la soluzione in casa (in termini di software) e forse nemmeno lo sai.
Ma quali gli strumenti per gestire la security SAP sul mercato?
Tra i più famosi e conosciuti almeno i seguenti (ma non si tratta di una lista completa ed esaustiva), suddivisi per macrocategorie, sotto puoi trovare un'immagine con un breve confronto delle funzionalità offerte.
Nel caso dell'area GRC (confrontandola con i moduli del SAP GRC Access Control) siamo andati a raggruppare le principali funzionalità, verifica sempre sul sito del produttore le ultime funzionalità disponibili/rilasciate.
- Controllo delle vulnerabilità (Cyber Security)
- Onapsis si tratta di una suite che consente di gestire le vulnerabilità del sistema e gli aspetti di sviluppo sicuro del codice SAP (per questo ultimo aspetto a seguito dell'acquisizione da parte di Virtual Forge).
- ERPScan
- Security Bridge guarda qui l'articolo dedicato
Guarda qui l'intervista a Security Bridge
- Protect4S
- Layerseven
- Automatizzazione dei processi di User e Role Management
- 1905
- CSI tools
- Xiting (leggi qui se vuoi approfondire come funziona il modulo per la gestione delle emergenze, firecall e super utenze)
- Software per la gestione della compliance degli Accessi
- Security Weaver si tratta di un prodotto sviluppato in linguaggio ABAP paragonabile alle funzionalità offerte dal software SAP GRC Access Control. Leggi qui l'approfondimento per i controlli aziendali (Conformità aziendale in SAP)
Guarda qui il video intervista
- Soterion
- ERP Maestro Acquista dalla società SailPoint (leggi anche qui cosa significa "Adottare e non Adattare i sistemi di Identity ed Access Governance?")
- Symmetrycorp
- Security Analyzer
Di seguito una tabella riepilogativa dei vari software e le loro specificità, per l'area GRC vengono presi a riferimento i moduli del software SAP GRC Access Control. In diversi casi questi strumenti, soprattutto per l'area legata alla compliance degli accessi, possono essere visti come complemento alla suite SAP GRC.
Hai qualche dubbio? Desideri effettuare una software selection approfondita dei software sopra o analoghi?