Le organizzazioni che utilizzano SAP come applicazione aziendale o sistema ERP sempre più spesso ricorrono all’aiuto di un SAP security consultant. Infatti, solitamente all’interno di SAP sono memorizzati i dati più critici, comprese le proprietà intellettuali. Va da sé che queste informazioni debbano essere protette adeguatamente da accessi non autorizzati, sia dall'esterno sia dall'interno dell'organizzazione. In pratica, i sistemi SAP richiedono un'ampia protezione e un accurato monitoraggio della security. Per questo l’applicazione stessa rende disponibili procedure per migliorare la segregazione dei compiti (SoD), per definire autorizzazioni o condurre progetti di sicurezza del codice ABAP.
Si deve però sapere come gestire tali procedure. In particolare, con il nuovo scenario SAP Fiori, le funzionalità di sicurezza non sono più attive di default come lo erano nelle vecchie implementazioni e quindi vanno impostate manualmente.
Così, se in azienda non esiste un opportuno know-how che permetta di affrontare con competenza l’aspetto sicurezza già dalla fase di installazione dell’applicazione SAP, è necessario definire sin da subito una strategia affiancati da un esperto security consultant. In altre parole, se in fase di test della soluzione SAP si intende permettere al business e all’IT di provare le nuove funzionalità, può essere necessario ricorrere al security consultant già durante l’implementazione.
Spesso in passato con SAP l’aspetto inerente alla security era considerato abbastanza marginale, non perché fosse meno importante ma perché non era tra le prime voce di budget all’interno dei progetti (e quindi veniva affrontato in un secondo momento). Oggi, però, con il nuovo scenario Fiori deve cambiare radicalmente l’approccio.
Definire una strategia con l'esperto vuole dire prima di tutto partire con il piede giusto con SAP. Un SAP security consultant possiede, infatti, le competenze per mettere in luce in modo preventivo i punti cui prestare attenzione e per i quali serve trovare una soluzione prima di mettersi a implementare i vari processi o attivare i servizi. Le aziende molte volte iniziano a impostare una roadmap non avendo ben presente come dovrebbe essere l’applicazione nella forma definitiva o quali saranno le sue potenzialità. In questo modo, diventa molto difficile immaginare con una certa precisione un percorso oppure, addirittura, si imbocca una strada che è molto diversa da quella che si dovrà percorrere nel giro di qualche anno. Il consulente deve aiutare le aziende proprio in questo.
A volte, anche avendo una competenza altamente tecnica, se non si ha un’adeguata conoscenza delle caratteristiche di security di SAP, si possono inavvertitamente fare interventi maldestri che causano danni rilevanti, come per esempio cancellare un processo segregativo che coinvolge l'intera azienda. È vero che è molto importante avere una consulenza strategica nel disegnare una roadmap, ma poi, durante il mantenimento dell’implementazione, si deve poter fare affidamento sulla competenza tecnica e funzionale.
Un vero SAP security consultant deve avere tanti know-how: deve sapere come funziona un'azienda, come funzionano tutti i moduli, deve avere competenze tecniche sugli oggetti autorizzativi e deve sapere come gestire la parte tecnica dei ruoli. Per il personale IT interno acquisire tutte queste capacità, tutte questo know-how e poi mantenerlo nel tempo, in linea anche con gli aggiornamenti, è complicato. Questo, in molti casi, porta l’azienda a puntare sull'outsourcing.
Il personale interno all’organizzazione dovrebbe concentrarsi sui processi di governance. Risulta poi più economico e molto più efficace affidarsi a esperti che eseguono il lavoro più velocemente e in un modo dettato anche dall'esperienza perché quell’attività è già stata svolta tante altre volte.
Essere totalmente autonomi con SAP è sempre più difficile soprattutto ora che l’applicazione ha acquisito anche tutta la parte del database HANA e che le funzionalità web e HTML 5 si sono affiancate alle competenze di back-end. Riguardo la sicurezza, un’azienda può crearsi un help desk di primo livello occupandosi di tutto ciò che riguarda la user management, la user assignment, le rivalidazioni e lo user provisioning. Se però le necessità vanno oltre è bene che si rivolga a un SAP security consultant.