Il processo di controllo e validazione dei ruoli su SAP è fondamentale per garantire la consistenza del modello autorizzativo RBAC (Role Based Access Control). In un’ottica di massimizzazione del livello di sicurezza dell'ecosistema SAP, il concetto autorizzativo ricopre un ruolo di primaria importanza, in quanto aiuta a stabilire privilegi sufficienti per consentire agli utenti finali di svolgere le proprie mansioni lavorative, oltre a fornire una gestione e manutenzione semplificata.
Per rendere il sistema più sicuro, è fondamentale dunque rivedere il piano delle autorizzazioni per assicurarsi che soddisfi tutti i requisiti di sicurezza aziendali e che non presenti violazioni, anche a livello di SoD. Ecco perché è necessario analizzare l'importanza del controllo validazione ruoli SAP, in quanto racchiude metodologie atte ad assicurare la totale consistenza del modello autorizzativo a livello di ruoli, profili e autorizzazioni.
L'importanza del controllo validazione ruoli SAP
Il concetto autorizzativo SAP è strutturato su 4 livelli dall'esecuzione di transazioni, programmi, attività e livelli Organizzativi e ha come obiettivo quello di proteggere il sistema da accessi non autorizzati attraverso la definizione di tutti gli aspetti relativi alla sicurezza logica.
Per svolgere la manutenzione di ruoli, profili e autorizzazioni, è possibile utilizzare le funzioni dedicate alla manutenzione dei ruoli e il generatore di profili attraverso la transazione PFCG. Quest'ultima consente di svolgere l'ottimizzazione del concetto ruolo utente, utilizzando il sistema sia in modalità completa in modalità limitata o massiva. SAP mette a disposizione Tabelle e strumenti per consentire la verifica di anomalie in modo massimo.
La transazione PFCG racchiude anche gli strumenti di verifica che il profilo assegnato al ruolo sia stato o meno correttamente assegnato all'utente, validando la presenza di un legame effettivo ruolo-utente.
Esistono anche altre modalità più complesse di User managment che vanno dall’attribuzione attraverso strutture organizzative legate ad Hr o ad associazioni indirette.
Tutte queste singole funzionalità messe a disposizione da SAP consentono di avere una gestione ordinaria che sia coerente con la Segregation of Duties, al fine di minimizzare potenziali problematiche durante il processo di controllo e validazione ruoli.
Profili autorizzativi
Non solo, un'ulteriore tematica, per aumentare e mantenere costante la sicurezza del livello SAP, è quella di svolgere la manutenzione su specifici profili che contengono al loro interno autorizzazioni critiche.
Queste abilitazioni sono particolarmente attenzionate dal mondo ICT, dove il concetto si SOD si transla e si estende alla separazione di specifiche funzioni (Security, Basis, ABAP, Trasporti, AMS Funzionale, Progetti).
Seppur vi siano diversi profili autorizzativi in SAP, alcuni di essi risultano essere di primo piano e richiedono un'accurata gestione nel breve, medio e lungo termine.
- SAP_ALL: questo profilo ha al suo interno tutte le autorizzazioni SAP. Ciò significa che un utente dotato di questo profilo può eseguire tutte le attività a livello di sistema SAP. É fondamentale non assegnare a nessun utente aziendale questo profilo autorizzativo. Il suggerimento è quello di creare solo un utente con questo profilo da utilizzare solamente in caso di emergenza.
Ricordiamo tuttavia che la SAP_ALL va rigenerata customizzando il sistema e che non include le abilitazioni del nuovo Front-end Fiori.
- SAP_NEW: questo profilo autorizzativo ha come obiettivo quello di colmare le differenze nei rilasci nel caso in cui vi siano controlli autorizzativi nuovi o modificati per funzionalità preesistenti. Questa soluzione garantisce la continuità lavorativa, soprattutto durante l’applicazione di Patch o Upgrade di Release.
- P_BAS_ALL: quest'ultima autorizzazione permette agli utenti di visualizzare il contenuto delle tabelle da altre applicazioni. In particolare, in P_BAS_ALL troviamo l'autorizzazione P_TABU_DIS che consente all'utenza PA (Personnel Administration) di visualizzare contenuti che non sono correlati al proprio gruppo utente. Per il Data Base sono ora previsti oggetti che permettono la segregazione delle singole Tabelle anziché gruppi e con il concetto Lines Item delle singole righe creando Criteri Organizzativi .
Complessità e soluzioni per la validazione dei ruoli in SAP
In questo contesto risulta evidente che una delle sfide principali per gli amministratori della sicurezza è quella di svolgere una verifica periodica delle assegnazioni dei ruoli SAP, anche se la complessità presente all'interno del concetto autorizzativo comporta l’applicazione di un'accurata metodologia per la creazione e l’assegnazione di ruoli, profili e autorizzazioni. Il processo di Business Revalidation è consigliato almeno una volta all’anno.
Tutti questi aspetti rendono, quindi, difficile l'esecuzione di processi di controllo e validazione dei ruoli SAP, con il risultato di ritrovarsi di fronte a problematiche di accesso e sicurezza che possono compromettere la sicurezza dei dati aziendali. É proprio per questo motivo che tutto ciò deve essere supportato da strumenti GRC esterni, al fine di ottenere risparmi significativi a livello di utilizzo delle risorse aziendali, sia lato IT, che a livello di singoli reparti aziendali, spesso responsabili del processo di verifica delle autorizzazioni.
