Esistono alcuni Clienti che utilizzano le utenze IT assegnando loro il Profilo SAP_ALL, sia che esse siano di personale interno che di consulenti esterni.
È questa veramente l’unica soluzione funzionale ed economica che possiamo implementare?
Naturalmente, la nostra visione Pareto-efficiente, come consulenti sulla security operativa SAP, è quella di applicare tutti gli accorgimenti preventivi elaborati durante la nostra esperienza ventennale.
La nostra prima implementazione con autorizzazioni solo in Display nell’ambiente produttivo da parte di consulenti IT risale al 2006, quindi è possibile rinunciare alla SAP_ALL.
Alcune strategie possono essere: dotare le user in AMS di grant in sola visualizzazione, gestire le Super User id (come quelle di progetto) con programmi di monitoraggio e reportistica ICFR, implementare un tool per le esigenze emergenziali di bug fixing con l’utilizzo di FireFighting, separare ove necessitano le abilitazioni IT in pacchetti funzionali ad hoc; in DNC abbiamo elaborato una ventina di pacchetti autorizzativi che identifica le abilitazioni più critiche e verificate in sede di controlli IT.
Alcuni accorgimenti sono semplici da implementare: possiamo ad esempio iniziare a separare, anche attraverso lo user group, le utenze interne da quelle esterne.
Qualora gli interni fossero pochi e sia indispensabile non bloccare nessuna operatività, si potrebbero almeno estrapolare dal Profilo Globale alcune abilitazioni attribuendole ai soli preposti per tenerle maggiormente monitorate. Esempi sono la Security applicativa, la gestione dei trasporti o l’apertura del mandante.
Per gli esterni, dopo aver stabilizzato il sistema post go-live potrebbe essere sufficiente creare un SAP_ALL display per dare supporto al Business replicando i casi più complicati su un sistema pre-produttivo.
La SAP_ALL non è la soluzione a tutto. con l’avvento di FIORI essa non contiene le abilitazioni ai Catalag Group di Progetto per accedere da web e in caso di oggetti custom va rigenerata tute le volte.
Se necessitate di un check up sulla vostra implementazione o semplicemente suggerimenti e consigli non esitate a scriverci ai nostri indirizzi per verificare insieme come migliorare la vostra gestione.
