Il processo di controllo e validazione dei ruoli su SAP è fondamentale per garantire la consistenza del modello autorizzativo RBAC (Role Based Access Control). In un’ottica di massimizzazione del livello di sicurezza dell'ecosistema SAP, il concetto autorizzativo ricopre un ruolo di primaria importanza, in quanto aiuta a stabilire privilegi sufficienti per consentire agli utenti finali di svolgere le proprie mansioni lavorative, oltre a fornire una gestione e manutenzione semplificata.
Per rendere il sistema più sicuro, è fondamentale dunque rivedere il piano delle autorizzazioni per assicurarsi che soddisfi tutti i requisiti di sicurezza aziendali e che non presenti violazioni, anche a livello di SoD. Ecco perché è necessario analizzare l'importanza del controllo validazione ruoli SAP, in quanto racchiude metodologie atte ad assicurare la totale consistenza del modello autorizzativo a livello di ruoli, profili e autorizzazioni.
Il concetto autorizzativo SAP è strutturato su 4 livelli dall'esecuzione di transazioni, programmi, attività e livelli Organizzativi e ha come obiettivo quello di proteggere il sistema da accessi non autorizzati attraverso la definizione di tutti gli aspetti relativi alla sicurezza logica.
Per svolgere la manutenzione di ruoli, profili e autorizzazioni, è possibile utilizzare le funzioni dedicate alla manutenzione dei ruoli e il generatore di profili attraverso la transazione PFCG. Quest'ultima consente di svolgere l'ottimizzazione del concetto ruolo utente, utilizzando il sistema sia in modalità completa in modalità limitata o massiva. SAP mette a disposizione Tabelle e strumenti per consentire la verifica di anomalie in modo massimo.
La transazione PFCG racchiude anche gli strumenti di verifica che il profilo assegnato al ruolo sia stato o meno correttamente assegnato all'utente, validando la presenza di un legame effettivo ruolo-utente.
Esistono anche altre modalità più complesse di User managment che vanno dall’attribuzione attraverso strutture organizzative legate ad Hr o ad associazioni indirette.
Tutte queste singole funzionalità messe a disposizione da SAP consentono di avere una gestione ordinaria che sia coerente con la Segregation of Duties, al fine di minimizzare potenziali problematiche durante il processo di controllo e validazione ruoli.
Non solo, un'ulteriore tematica, per aumentare e mantenere costante la sicurezza del livello SAP, è quella di svolgere la manutenzione su specifici profili che contengono al loro interno autorizzazioni critiche.
Queste abilitazioni sono particolarmente attenzionate dal mondo ICT, dove il concetto si SOD si transla e si estende alla separazione di specifiche funzioni (Security, Basis, ABAP, Trasporti, AMS Funzionale, Progetti).
Seppur vi siano diversi profili autorizzativi in SAP, alcuni di essi risultano essere di primo piano e richiedono un'accurata gestione nel breve, medio e lungo termine.
Ricordiamo tuttavia che la SAP_ALL va rigenerata customizzando il sistema e che non include le abilitazioni del nuovo Front-end Fiori.
In questo contesto risulta evidente che una delle sfide principali per gli amministratori della sicurezza è quella di svolgere una verifica periodica delle assegnazioni dei ruoli SAP, anche se la complessità presente all'interno del concetto autorizzativo comporta l’applicazione di un'accurata metodologia per la creazione e l’assegnazione di ruoli, profili e autorizzazioni. Il processo di Business Revalidation è consigliato almeno una volta all’anno.
Tutti questi aspetti rendono, quindi, difficile l'esecuzione di processi di controllo e validazione dei ruoli SAP, con il risultato di ritrovarsi di fronte a problematiche di accesso e sicurezza che possono compromettere la sicurezza dei dati aziendali. É proprio per questo motivo che tutto ciò deve essere supportato da strumenti GRC esterni, al fine di ottenere risparmi significativi a livello di utilizzo delle risorse aziendali, sia lato IT, che a livello di singoli reparti aziendali, spesso responsabili del processo di verifica delle autorizzazioni.