Abbiamo già parlato diverse volte sul nostro blog della tematica relativa alla separazione dei compiti. Ma perché è utile pensarci anche nel caso in cui non sia di fatto obbligatoria?
Cos'è la segregation Of duties?
Lo Segregation of Duties è un processo che permette di assicurare che solo le persone ritenute idonee possano eseguire delle funzionalità aziendali ritenute “sensibili”. Di conseguenza per essere conformi alla separazione dei compiti può essere necessario spezzare il processo in modo che un utente non rappresenti un rischio di frode.
Facendo un esempio, tra i più classici, se una persona può sia creare un fornitore sia effettuare un pagamento verso il fornitore appena creato, potrebbe in questo caso effettuare delle attività illecite, attraverso la creazione di un fornitore fittizio appunto.
Ricorda inoltre che non è corretto affrontare questo aspetto come progetto, ma deve essere affrontato come processo.
Quanti casi abbiamo visto di progetti svolti che non hanno poi portato alcun beneficio. O meglio non sono entrati a far parte del DNA aziendale. Di conseguenza dopo qualche mese o anno è stato vanificato il lavoro iniziale.
Dato che in diversi casi non è sempre immediato affrontare tematiche di questo tipo (per diverse ragioni, organizzative, economiche, di contesto etcc) è importante cercare di raggiungere (e soprattutto mantenere) l'obiettivo soprattutto nel lungo periodo.
Come ti aiuta la Segregation of Duties (SoD) per combattere le frodi aziendali
Non necessariamente la SoD (nel caso dei sistemi SAP) porta ad avere un sistema più sicuro.
Infatti, la segregation of duties, è stata introdotta più per tematiche di conformità e compliance aziendale, rispetto a quelle di IT security. Quindi seppur possano esservi all'interno della matrice dei rischi (essenziale in un processo di gestione della separazione dei compiti) dei rischi di separazione dei compiti in abito IT (o critical risks) molti altri aspetti (o superfici di attacco) non sono minimamente contemplate.
Quindi la separazione dei compiti rientra in un processo di più ampio respiro, ne abbiamo parlato in diversi post e video sui nostri canali, che può avvicinarsi ad una gestione dei dati aziendali sicura ed in conformità. Vedi ad esempio qui:
Tuttavia, è importante iniziare in qualche modo, e affrontando questa tematica può essere sicuramente utile.
Non sai come affrontare questa tematica nella tua azienda?
Inizia a suddividere il problema, spesso affrontare le fasi di gestione della separazione dei compiti assieme da subito non è il miglior modo.
Contattaci se vuoi scoprire cosa abbiamo fatto in altre realtà aziendali!
