Security & Compliance in SAP: un approccio alla ... · L'acronimo SAP significa "Systeme,...

Security & Compliance in SAP: un approccio

alla segregazione dei compiti

MANFREDI PASSALACQUA

KPMG ADVISORY - MANAGER

[email protected]

This presentation is made by KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity, and is in all respects subject to the negotiation, agreement, and signing of a specific engagement letter or contract.

1. Introduzione

2. Metodologia e Strumenti

3. Approccio Best Practice:

3.1 AS-IS dei Processi Business

3.2 Definizione Matrice SoD

3.3 Disegno, Rilascio e Supporto del Modello Autorizzativo SAP

4. Deliverable

Indice:

2 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG

International"), entità di diritto svizzero. Tutti i diritti riservati.

Introduzione

L’attenzione sul tema della Segregazione dei Compiti è fortemente cresciuto spinto dalla necessità di adeguamento a

leggi quali:

■ D. Lgs. 231/01 - Corporate Governance Italiana: “Responsabilità amministrativa delle persone giuridiche, società

e delle associazioni anche prive di personalità giuridica” Disposizione per prevenire i reati commessi all’interno della

propria organizzazione nei rapporti con la pubblica amministrazione e con i privati; una particolare rilevanza è data

alla prevenzione dei reati informatici;

■ L. 262/05 - Tutela del Risparmio: Disposizioni a cui devono ottemperare le società quotate per la tutela del

risparmio e la disciplina dei mercati finanziari;

■ D. Lgs. 196 del 30/06/2003 - Privacy: Normative in materia di protezione dei dati personali e sensibili;

■ requisiti richiesti da Enti/Funzioni di controllo o da altre leggi nazionali o internazionali (Banca d’Italia, ISVAP, US

SEC, SOX…) e prassi di governance che richiedono il rafforzamento del Sistema di Controllo Interno con

l’obiettivo di salvaguardare la correttezza e la trasparenza nella gestione delle aziende.



Introduzione

Impatti sul Sistema Informativo SAP

L’adempimento di queste normative determina la necessità di attivare controlli che riducano la probabilità di presenza

di dati non affidabili e/o incompleti o la perdita di informazioni rilevanti, anche solo accidentale, attraverso:

■ L’individuazione delle potenziali aree a rischio e rilevazione dei processi IT e Business che potrebbero

compromettere l’esattezza e veridicità del dato.

■ Lo sviluppo di controlli sui privilegi di accesso che, essendo integrati nella configurazione di SAP,

diventano automatici e non più quindi affidati unicamente al controllo umano.

La crescita e la complessità delle applicazioni informatiche a supporto delle operatività business richiede di

considerare la necessità di soluzioni automatizzate tali da rendere la review, il monitoring ed il mantenimento dei

controlli applicativi più efficienti ed efficaci.

In particolare, le specificità sul tema della Segregazione dei Compiti richiedono l’adozione di solide strategie di

controllo e monitoraggio attraverso l’utilizzo di strumenti in grado di svolgere analisi di dettaglio e attività di controllo

automatico oltre che l’adozione di adeguati processi relativi al “User Life Cycle”, “Authorization Management” e di

gestione e mantenimento dei Rischi di Accesso (SoD).

ERP (SAP)

Overview



ERP

Financial Management

Supplay Chain

Management

Manufacturing Resource Planning

Human Resource

Management

Customer Relationship Management

Enterprise Resource Planning (letteralmente "pianificazione delle risorse d'impresa", spesso

abbreviato in ERP) è un sistema di gestione, chiamato in informatica sistema informativo,

che integra tutti i processi di business rilevanti di un'azienda (vendite, acquisti, gestione

magazzino, contabilità etc.) , connessi tra loro.

Enterprise Resource Planning



ERP

Enterprise Resource Planning (letteralmente "pianificazione delle risorse d'impresa", spesso

abbreviato in ERP) è un sistema di gestione, chiamato in informatica sistema informativo,

che integra tutti i processi di business rilevanti di un'azienda (vendite, acquisti, gestione

magazzino, contabilità etc.) , connessi tra loro.

Enterprise Resource Planning: le soluzioni di mercato

Il mercato propone numerose soluzioni ERP, molte sono rivolte a

piccole realtà produttive o di servizio con esigenze spesso minime

per le quali i ‘piccoli’ produttori locali propongono soluzioni

soddisfacenti i requisiti richiesti.

Viceversa, per le realtà più strutturate le soluzioni ERP presenti sul

mercato in grado di soddisfare i maggiori requisiti sono

principalmente 5:

5% MS; 1,1B$

6% MS; 1,5B$

6% MS; 1,5B$

13% MS; 3,1B$

25% MS; 6,1B$

http://www.forbes.com/sites/louiscolumbus/2013/05/12/2013-erp-market-share-update-sap-solidifies-market-leadership/



SAP AG è una multinazionale europea per la produzione di

software. È una delle principali aziende al mondo nel settore degli

ERP e in generale nelle soluzioni Enterprise.

Enterprise Resource Planning: SAP

L'acronimo SAP significa "Systeme, Anwendungen, Produkte in der Datenverarbeitung".

Curiosamente la leggibilità dell'acronimo è possibile in altre due lingue: quella inglese in quanto corrisponde a

"Systems, Applications and Products in data processing" e italiana "Sistemi, Applicazioni e Prodotti

nell'elaborazione dati".

Nata nel 1972, la società si è velocemente sviluppata costituendo in tutto il mondo filiali amministrative,

operative e laboratori per la ricerca e lo sviluppo. La sede storica è a Walldorf, in Germania. Nel 1980 la SAP

ha creato il linguaggio di programmazione proprietario ABAP, con cui sono stati scritti quasi tutti i suoi prodotti.

SAP in cifre

Nel 2012 SAP conta nel mondo un organico di oltre 59.000 persone, di queste circa 560 persone in Italia. Oltre

195.000 aziende, in più di 120 paesi possiedono installazioni di software SAP, di queste 3.500 in Italia. Il 65%

delle installazioni riguardano la sfera delle piccole e medie aziende.



Enterprise Resource Planning: SAP R3

l'ERP per piattaforma client-server R/3

Con oltre 120.000 transazioni e 80.000 tabelle, il prodotto R/3,

oggi commercializzato con la sigla ECC, integra i differenti

Processi di Business in una struttura modulare.



Enterprise Resource Planning: SAP R3 – BC (Basis Component)

Il modulo BC permette la configurazione e la gestione delle attività

di implementazione e manutenzione del sistema oltre a numerose

interazioni tra gli utenti e i dati.

Nel modulo BC e, più precisamente, nel sottomodulo SEC sono classificate le

funzioni del sistema per la gestione della sicurezza dei dati e della

configurazione.

E' qui che avviene la Segregazione dei Compiti e l'applicazioni delle soluzioni

di Governance del Modello Autorizzativo SAP.



Dal know-how acquisito in ambienti SAP complessi e dall’esperienza maturata in molteplici attività progettuali, KPMG ha sviluppato,

verificato e mantenuto una matrice di riferimento per l’analisi, la valutazione e la predisposizione di un Modello Autorizzativo SAP nel

rispetto delle più rilevanti regole di Segregation of Duties (SoD) e considerando gli standard autorizzativi specifici di SAP.

La matrice Business di KPMG per SAP utilizzata nella conduzione delle analisi prevede:

■ 10 Processi Business:

– Finance;

– Materials Management;

– Order to Cash;

– Procure to Pay;

– Hire to Retire;

– Logistics and Execution;

– Plant Management;

– Production Planning;

– Quality Management;

– Warehouse Management.

■ 140 Funzioni Business.

■ 950 Transazioni SAP Standard, analizzate

tramite 4.500 oggetti autorizzativi.

■ 50.000 Rischi potenziali.

■ Differenti Livelli di Rischio SOD (Alti, Medi, Bassi).

La matrice IT di KPMG per SAP prevede:

■ 2 Processi IT:

– Access to Program & Data;

– Program Changes.

■ 120 Transazioni IT Standard.

Business Process 3 Business Process 2 Business Process 1

BUSINESS

FUNCTION 1-1

BUSINESS

FUNCTION 1-2

BUSINESS

FUNCTION 1-3

BUSINESS

FUNCTION 2-1

BUSINESS

FUNCTION 2-2

BUSINESS

FUNCTION 3-1

BUSINESS

FUNCTION 3-2

BUSINESS

FUNCTION 3-3 Medium Risk

Lo

w R

isk

High Risk

Hig

h R

isk

Critical Risk

Critical Risk

High Risk

High Risk

Critical Risk

Medium Risk

Critical Risk

Metodologia e Strumenti

SAP SoD and Critical Access Analysis



Esistono tool a supporto dell'attività di analisi SOD e Critical Access. Per effettuare le attività proposte KPMG utilizza un apposito tool sviluppato

internamente denominato “K-SoD“

K-SOD” è uno strumento di analisi utilizzato per verificare, monitorare e governare la “Segregazione delle Autorizzazioni” (Segregation of Duties) negli

ambienti SAP.

Lo strumento sviluppato da KPMG è basato su Microsoft Access e viene utilizzato dai Team di Sicurezza IT o Compliance per automatizzare:

■ la rilevazione dei reali conflitti SoD per utenti;

■ la rilevazione dei reali conflitti SoD per ruoli;

■ la rilevazione ed il monitoraggio di transazioni business ed IT considerate critiche per utenti.

Nell’ambito del sistema di controllo interno relativo alla conformità a normative o policies interne quali la 262 e 231, K-SOD può essere utilizzato come

strumento di analisi durante le valutazioni dei rischi al fine di rilevare lo status della conformità e/o l’avanzamento delle attività di adeguamento alla

conformità.

SAP Desktop Laptop

Export delle informazioni:

■ Automatico

■ Manuale

■ K-SOD utilizza esclusivamente le informazioni necessarie per l’esecuzione dell’analisi degli accessi (SoD e Critical Access).

■ È un tool autonomo, cioè non impatta sull’operatività di business del cliente e non incide sulle prestazioni di sistema.

■ Possiede un elevato numero di reportistica standard ed è semplice creare della documentazione personalizzata per soddisfare le esigenze del cliente.

■ Non richiede l’installazione di programmi o funzionalità specifiche in SAP.

Metodologia e Strumenti

SAP Authorizations Analyzer Tool

Risultati

in excel Trend

SoD Matrix (Risk Rules)

http://images.google.it/imgres?imgurl=http://www.sachsreport.com/lian li pc 35 bad ass little matx microatx home server.jpg&imgrefurl=http://www.sachsreport.com/&h=320&w=230&sz=89&hl=it&start=40&um=1&tbnid=GN6--jCwTKfZMM:&tbnh=118&tbnw=85&prev=/images?q=server+pc&start=20&gbv=2&ndsp=20&svnum=10&um=1&hl=it&sa=N

http://images.google.it/imgres?imgurl=http://www.sachsreport.com/lian li pc 35 bad ass little matx microatx home server.jpg&imgrefurl=http://www.sachsreport.com/&h=320&w=230&sz=89&hl=it&start=40&um=1&tbnid=GN6--jCwTKfZMM:&tbnh=118&tbnw=85&prev=/images?q=server+pc&start=20&gbv=2&ndsp=20&svnum=10&um=1&hl=it&sa=N



1 Esecuzione delle Analisi degli

accessi (SoD e CA).

2 Test e Finalizzazione della Matrice

di Segregation of Duties.

3 Identificazione dei Controlli

Compensativi SoD.

4 Definizione delle procedure di

gestione della Matrice SoD e di

controllo dei relativi rischi.

■ Risultati delle Analisi degli accessi

(SoD e CA) ed integrazione delle

informazioni relative al “transato

reale”

■ Definizione delle Matrice SoD

■ Road Map relativo all’adozione del

Nuovo Modello Autorizzativo SAP”.

■ Disegno dei Controlli Compensativi.

■ Processi e procedure di gestione e

controllo dei Rischi SoD e della

relativa Matrice di Controllo degli

Accessi SAP.

Macro attività 2

Matrice di Segregation of Duties

1 Identificazione e mappatura dei

processi, sotto processi e delle

funzionalità SAP rispetto alla

struttura organizzativa.

2 Identificazione e mappatura delle

Figure Professionali SAP.

3 Integrazione tra i sotto processi SAP

e le Figure Professionali SAP in

base al “transato” reale.

■ Matrice degli Accessi SAP.

■ Mappatura AS-IS dei Processi e

relativa distribuzione

nell’organizzazione.

■ Mappatura AS-IS delle Figure

Professionali SAP.

■ Risultati della comparazione tra i

sotto processi business e le attività

svolte.

■ Presentazione delle Best Practice.

Macro attività 1

AS-IS dei Processi Business & Best

Practice SoD

Di seguito è descritto l’approccio per il disegno e l'implementazione del modello autorizzativo che prevede tre macro

attività:

Metodologia di Lavoro

Approccio al disegno e implementazione del modello autorizzativo

Fa

si

De

live

rab

les

Macro attività 3

Disegno, Rilascio e Supporto del

nuovo Modello Autorizzativo

1 Disegno del Modello Autorizzativo

SAP

2 Test e Rilascio

3 Supporto Go Live e Post Go Live

■ Disegno funzionale del Nuovo

Modello Autorizzativo SAP;

■ Piano di Testing ;

■ Piano di Rilascio in ambiente di

produzione.

■ Documento di Issue log (per Unit

Test e User Acceptance Test);

■ Revisione del documento del Nuovo

Modello Autorizzativo;

■ Piano di “hand over”.



In tale fase si procede alla comprensione iniziale delle caratteristiche del business, dell’organizzazione e dall’analisi delle funzionalità di accesso SAP.

In particolare sono acquisite le informazioni e svolte analisi in merito a:

■ Analisi della struttura organizzativa business.

■ Rilevazione ed analisi della struttura organizzativa tecnicamente implementata in SAP.

■ Mappatura dei processi, sotto processi e funzionalità (transazioni) di business ed IT presenti in SAP:

– analizzare le transazioni “custom”, individuando quelle relative alle funzionalità Business e IT, distinguendo tra quelle di gestione (creazione,

modifica, cancellazione, approvazione,…) e di visualizzazione o reporting;

– integrazione delle transazioni custom nella mappatura dei processi AS-IS e verifica circa la corretta attribuzione. Ogni transazione custom, ritenuta

rilevante ai fini della mappatura sarà quindi tecnicamente analizzata al fine di verificare la presenza di controlli autorizzativi automatici.


AS-IS dei Processi Business

Fase 1.1

Identificazione e

mappatura

Fase 1.2

Figure

Professionali SAP

Fase 1.3

Integrazione AS-IS dei Processi Business

& Best Practice SoD

• Insieme di attività per lo svolgimento di operazioni riconducibili ad uno o più

processi aziendali

• Insieme di attività integrate, svolte all'interno dell'azienda, che creano valore

trasformando delle risorse in un prodotto o in un servizio, destinato ad un

soggetto interno o esterno all'azienda

• In SAP rappresentano il dettaglio delle modalità operative e tecniche riferite ad

un sotto processo per lo svolgimento o l’esecuzione di specifiche funzionalità di

business o IT

• In SAP rappresentano i differenti livelli organizzativi e/o documentali su cui è

possibile definire, implementare e valutare un appropriato livello di segregazione

degli accessi

Analisi dei Processi: Matrice degli Accessi SAP per Processo ed Organizzazione

Processi

Sotto Processi

(funzioni SAP)

Transazioni

Elementi

Organizzativi Elementi

Documentali

Fase 1.1 – Identificazione e

Mappatura dei processi Business



In tale fase si procede all’identificazione delle Figure Professionali SAP. In particolare, si procede ad acquisire informazioni e svolgere

analisi in merito a:

■ Identificazione ed attribuzione ad ogni utenza SAP, sulla base dell’analisi dell’organigramma aziendale, di una mansione

organizzativa considerando anche i livelli funzionali (es: Responsabile, Coordinatore, Staff). Per “utente SAP” si intende ogni anagrafica

utente attiva nel sistema di produzione SAP assegnata sia a collaboratori interni (dipendenti) sia a collaboratori esterni (terze parti).

■ Suddivisione delle utenze SAP distinguendo quelle che svolgono funzioni e attività di Business da quelle che svolgono attività di

supporto funzionale (IT, SAP Application Maintenance,...).

Amministrazione, Finanza e Controllo

Ente Bilancio

Responsabile 2 Utenti SAP

Staff 8 Utenti SAP

Ufficio Pagamenti

Responsabile 1 Utente SAP

Staff 7 Utenti SAP

Contabilità

Generale

Responsabile 2 Utenti SAP

Coordinatore 4 Utenti SAP

Staff 12 Utenti SAP

Dipartimento

Organizzativo

Unità

Organizzativa

Figure Professionali

SAP

Utenti

SAP



Fase 1.1

Identificazione e

mappatura

Fase 1.2

Figure

Professionali SAP

Fase 1.3


& Best Practice SoD

Fase 1.2 – Figure

Professionali SAP



Questa fase prevede l’attività di integrazione tra i risultati della mappatura dei processi e

sotto processi (fase 1) e le figure professionali SAP (fase 2), anche attraverso l’analisi e

l’integrazione delle informazioni sul “transato” reale SAP.

Tale obiettivo sarà raggiunto tramite lo svolgimento delle seguenti attività:

■ integrazione delle informazioni delle statistiche di utilizzo per ogni utente;

■ attribuzione di ogni singola transazione nella matrice Processi, Sotto Processi,

Transazioni;

■ attribuzione delle Figure Professionali ad ogni utente SAP.



Fase 1.1

Identificazione e

mappatura

Fase 1.2

Figure

Professionali SAP

Fase 1.3


& Best Practice SoD

Si otterrà, quindi, la matrice delle funzionalità (business ed IT) realmente svolte da un gruppo omogeneo di utenti

(Figure Professionali) considerando la specifica organizzazione e la matrice degli Accessi SAP (Processo, Sotto

Processo, Transazioni, Oggetti Autorizzativi, Livelli Organizzativi).

In particolare, con riferimento al processo di Governance, saranno valutati i principi generali di attribuzione delle

responsabilità all’interno dell’azienda, la composizione, le responsabilità e il funzionamento delle strutture, il sistema

di deleghe interne, gli iter autorizzativi in essere, la segregazione organizzativa dei compiti ecc.

I risultati ottenuti potranno essere messi a confronto con i principi contenuti nelle best practice e con i requisiti di

controllo degli accessi (es: 262). I principi contenuti nelle best practice costituiscono un riferimento ai quali ispirarsi

in considerazione delle specifiche esigenze di business e di conformità che saranno rilevate nel corso del progetto.

Fase 1.3 – Integrazione tra i

sotto processi SAP e le Figure

Professionali SAP





Professionali SAP



Fase 1.1

Identificazione e

mappatura

Fase 1.2

Figure

Professionali SAP

Fase 1.3


& Best Practice SoD

Tale metodologia di analisi prevede l’identificazione, congiuntamente al management

aziendale, delle responsabilità operative che possono essere ritenute valide dal

Management a livello di Processi e Sotto Processi Business gestiti in SAP.

Inoltre, al termine della fase di Integrazione con le Figure Professionali SAP , sarà fornita

una visione sintetica dello stato AS-IS in ambito di Processi attraverso una matrice dei

risultati suddivisa per sotto processo e organizzazione; tale deliverable faciliterà e supporterà

lo svolgimento delle successive fasi di lavoro.



Esempio

Ruoli SAP per Figure

Professionali (Unità

Organizzativa e Livello di

Responsabilità) ottenuto

tramite:

■ integrazione delle

informazioni delle

statistiche di utilizzo per

ogni utente (18 utenti);

■ attribuzione di ogni

singola transazione nella

matrice Processi, Sotto

Processi, Transazioni

(27 transazioni);

■ attribuzione delle Figure

Professionali ad ogni

utente SAP (3 figure

professionali).

Dipartimento Organizzativo

Amministrazione, Finanza e Controllo

Unità Organizzativa

Contabilità Generale

2 Utenti SAP 4 Utenti SAP 12 Utenti SAP

RESPONSABILE COORDINATORE STAFF

Gestione

Anagrafica Co.Ge.

5 SAP Transactions

Inserimento Prima

Nota Co.Ge.

3 SAP Transactions

Gestione

Anagrafica Banche

4 SAP Transactions

Gestione

Anagrafica Co.Ge.

5 SAP Transactions

Gestione CdC

2 SAP Transactions

Gestione

Anagrafica Co.Ge.

5 SAP Transactions

Strutture di

Bilancio

7 SAP Transactions

Registrazione

Ammortamenti

5 SAP

Transactions

SPECIAL ROLE

Gestione Periodi

Contabili FI

1 SAP Transaction



Fase 1.1

Identificazione e

mappatura

Fase 1.2

Figure

Professionali SAP

Fase 1.3


& Best Practice SoD



Professionali SAP



È importante sviluppare e verificare un set di matrici di riferimento per l’analisi e la valutazione degli Accessi Critici

(CA) alle funzionalità del sistema SAP e della Segregation of Duties (SoD) nel rispetto degli standard autorizzativi

specifici di SAP ECC 6.0.

Per effettuare l’analisi è possibile avvalersi di tool per la valutazione tecnica dei modelli autorizzativi SAP.

Le analisi del sistema SAP devono essere condotte dal team di progetto con l’ausilio di tre distinte matrici di

confronto:

■ SAP Basis Component Critical Access Matrix (eventualmente integrata con le funzionalità custom IT);

■ SAP Business Critical Access Matrix (eventualmente integrata con le funzionalità custom Business);

■ SAP Business SoD Matrix (eventualmente integrata con le funzionalità custom Business).

Fase 2.1 – Analisi degli

Accessi SAP


Definizione Matrice SoD

Fase 2.1

Analisi degli

Accessi

Fase 2.2

Test &

Finalizzazione

Fase 2.3

Mitigation Controls

Fase 2.4

Procedure SoD Matrice SoD





Fase 2.1

Analisi degli

Accessi

Fase 2.2

Test &

Finalizzazione

Fase 2.3

Mitigation Controls

Fase 2.4


I risultati delle analisi effettuate su tutte le utenze attive nell’ambiente di produzione SAP forniranno i seguenti risultati

ed indicazioni:

■ IT Critical Access: l’analisi degli accessi critici a funzionalità IT (IT Critical Access Analysis) ha lo scopo di

rilevare le utenze che potenzialmente dispongono in SAP di singole autorizzazioni IT (transazioni, oggetti

autorizzativi e attività), senza considerare nessuna regola dei conflitti. Il risultato di questa analisi permette, a

livello di singolo utente, una più agevole individuazione di abilitazioni SAP non coerenti con la mansione

organizzativa.

■ Business Critical Access: l’analisi degli accessi critici a funzioni Business (Business

Critical Access) ha lo scopo di rilevare le utenze che potenzialmente dispongono in

SAP di singole autorizzazioni Business (transazioni, oggetti autorizzativi, livelli

organizzativi ed attività), incluse nella precedente definizione della matrice dei conflitti

SAP, senza considerare nessuna regola dei conflitti. Il risultato di questa analisi

permette, a livello di singolo utente, una più agevole individuazione di

abilitazioni SAP ECC 6 non coerenti con la mansione aziendale e organizzativa.

■ SoD Analysis: L’analisi dei conflitti di segregazione del business ha lo scopo di

rilevare le utenze che potenzialmente dispongono in SAP di un set di autorizzazioni

business (transazioni, oggetti autorizzativi, livelli organizzativi ed attività) ritenute in

conflitto così come indicati nella definizione delle regole della matrice dei conflitti SAP

utilizzata.

Fase 2.1 – Analisi degli

Accessi SAP



Obiettivo principale di questa parte progettuale è il disegno della Matrice SoD in coerenza con i requisiti

organizzativi e in considerazione dei rischi di accesso eventualmente già identificati dalla Società.

L’approccio proposto per l’analisi e la valutazione dei rischi di accesso e la successiva predisposizione della Matrice

SoD avrà come punti di partenza:

■ le rilevazioni organizzative delle utenze SAP in considerazione dei risultati derivanti dalla

precedente Macro Attività 1;

■ le specifiche attività svolte (transato reale) da un gruppo omogeneo di utenti appartenenti alla

medesima unità organizzativa;

■ i risultati derivanti dall’analisi SoD e Critical Access svolta a livello di utente utilizzando Rischi

SoD di KPMG, considerata Best Practice.

Fase 2.2 – Test e finalizzazione

della Matrice SoD



Fase 2.1

Analisi degli

Accessi

Fase 2.2

Test &

Finalizzazione

Fase 2.3

Mitigation Controls

Fase 2.4


I risultati dell’analisi SoD e Critical Access (Business ed IT) dovranno essere approfonditi ed affinati in

considerazione dei processi business, dei sotto processi e delle relative transazioni, integrando i principi generali di

attribuzione delle responsabilità all’interno dell’azienda, la composizione, le responsabilità e il funzionamento delle

strutture, il sistema di deleghe interne, gli iter autorizzativi in essere, la segregazione organizzativa dei compiti ecc.



■ Ad ogni rischio SoD individuato sarà attribuito un livello (alto, medio, basso) e una tipologia (rischio finanziario,

rischio operativo SAP ecc.).

■ Saranno quindi calcolati nuovamente i potenziali rischi SoD e Critical Access (Business ed IT) ottenuti

applicando la Matrice SoD aggiornata.

■ I nuovi risultati saranno analizzati e valutati nuovamente al fine di stimare QUALITATIVAMENTE (eliminazione

dei falsi positivi ed individuazione dei falsi negativi) e QUANTITATIVAMENTE (numero di conflitti per processo

e organizzazione) i rischi di accesso così ottenuti e ritenuti appropriati dal Management.



Fase 2.1

Analisi degli

Accessi

Fase 2.2

Test &

Finalizzazione

Fase 2.3

Mitigation Controls

Fase 2.4


Matrice di valutazione del rischio SoD Matrice probabilità del Rischio SoD

Definizione dei rischi SoD nell’organizzazione

ESEMPIO

Fase 2.2 – Test e finalizzazione

della Matrice SoD



La presente fase progettuale ha l’obiettivo di identificare, analizzare e definire i controlli compensativi o di mitigazione per il monitoraggio

e controllo degli eventuali rischi SoD.

Fase 2.3 – Disegno dei

Controlli Mitigativi

■ Definizione di controlli basati su Best Practice.

■ Supporto alla valutazione delle analisi di Segregation of Duties.

■ Evidenza di aree a rischio e possibili casi di errore o alterazione dei dati business (frodi).

■ Maggiore copertura dei controlli interni per il monitoraggio dell’utilizzo del sistema.

■ Maggior efficienza nelle attività di testing e di controllo.

METODOLOGIA

Analisi

■ Valutazione dei Controlli interni sui processi

Business posti in essere dalla società.

■ Valutazione dei processi di Gestione del ciclo

di vita delle utenze e delle autorizzazioni.

■ Valutazione dei rischi di accesso.

Evoluzione

■ Gestione degli accessi in continua evoluzione

al pari con l’organizzazione aziendale e in

conformità alla Segregation of Duties.

■ Controlli Applicativi Preventive.

■ Gestione degli eventi eccezionali.

Standardizzazione

■ Controlli IT Basis Components e Business

applicabili a SAP.

■ Procedure Best Practice per l’identificazione

degli obiettivi di controllo.

■ Policy per la gestione della sicurezza SAP e IT.

BENEFICI



Fase 2.1

Analisi degli

Accessi

Fase 2.2

Test &

Finalizzazione

Fase 2.3

Mitigation Controls

Fase 2.4


La principale attività prevista in questa fase è il supporto funzionale nell’identificazione e nel disegno logico dei controlli

compensativi, in considerazione dei seguenti fattori ed informazioni:

■ Analisi dei rischi SoD;

■ Individuazione dei Controlli di Mitigazione sui processi di Business tra quelli previsti dalle best practices;

■ Formalizzazione del Disegno dei Mitigation Controls (descrizione delle attività di controllo, responsabilità, frequenza, ecc.).



La presente fase progettuale ha come obiettivo la definizione di nuovi processi di controllo e di gestione della

Segregation of Duties.

Le procedure di controllo interno riferite alla Segregation of Duties dovrebbero includere anche i controlli da

porre a presidio dei rischi assunti nell’operatività.

Fase 2.4 – Definizione dei

Processi di gestione della

SoD



Fase 2.1

Analisi degli

Accessi

Fase 2.2

Test &

Finalizzazione

Fase 2.3

Mitigation Controls

Fase 2.4


La predisposizione di adeguate procedure richiede:

■ L’individuazione e l’adozione di strumenti automatici;

■ La predisposizione di un adeguato sistema di controllo interno;

■ L’aggiornamento dei principali rischi e dei connessi controlli;

■ La formalizzazione delle modalità di svolgimento delle attività, anche

con riferimento alle attività di controllo;

■ La valutazione della documentazione prodotta in termini di

completezza, coerenza, conformità alle normative e di adeguatezza dei

controlli previsti;

■ Un continuo processo di monitoraggio, controllo e miglioramento.



■ I processi di controllo della Segregation of Duties dovrebbero essere di due tipologie:

– Controlli Preventivi: hanno la finalità di prevenire la generazione di nuovi rischi SoD a livello di utente e di Ruolo SAP. L’adozione

di queste tipologie di controllo è ad integrazione dei processi e delle procedure di gestione delle utenze e delle autorizzazioni SAP;

– Controlli Successivi: sono controlli che dovrebbero essere svolti in maniera continuativa (a livello di processo e di

organizzazione) al fine di individuare puntualmente ogni possibile errore o eccezione circa l’assegnazione di autorizzazioni SAP

non coerenti con la Figura Professionale o con le necessità di Business.

■ I processi di gestione della Segregation of Duties dovrebbero prevedere ogni potenziale aggiornamento o evoluzione organizzativa,

di processo e di sistema quali, ad esempio:

– Aggiornamenti alla struttura Organizzativa (creazione di nuovi Dipartimenti, fusioni o scissioni di Unità Organizzative ecc.);

– Aggiornamenti ai processi business (a seguito di nuovi requisiti normativi o introduzione di nuovi flussi approvativi);

– Evoluzioni di Sistema (upgrade di release, implementazione di nuove funzionalità, creazione o adozione di nuove transazioni

standard e custom).

Fase 2.4 – Definizione dei

Processi di gestione della

SoD



Fase 2.1

Analisi degli

Accessi

Fase 2.2

Test &

Finalizzazione

Fase 2.3

Mitigation Controls

Fase 2.4


Il mantenimento nel tempo di un adeguato livello di conformità alle regole SoD richiede un appropriato

Commitment da parte della Società, dei Business Owners e del management deputato al controllo e alla

gestione del Modello Autorizzativo SAP e delle regole di segregazione degli accessi definite.



Obiettivo principale di questa macro fase progettuale è il disegno, il rilascio e il supporto durante le fasi di Go Live e Post Go Live del

nuovo o rinnovato Modello Autorizzativo del sistema SAP, in coerenza con i requisiti organizzativi e in considerazione dei rischi di

accesso definiti della Società.

L’approccio proposto per il disegno del nuovo modello autorizzativo e le relative attività, saranno basate sulla rilevazione organizzativa

delle utenze SAP e dalle specifiche attività svolte (transato reale) da un gruppo omogeneo di utenti appartenenti alla medesima unità

organizzativa come risultate dai risultati delle precedenti macro fasi. In base al numero di livelli organizzativi presenti nell’organigramma

e al numero di utenti appartenenti a una singola unità organizzativa, saranno previsti dei nuovi ruoli al fine di assegnare un appropriato

set autorizzativo per lo svolgimento delle attività ritenute appropriate dal Management della Società in coerenza con i requisiti espressi

dal Management.

Fase 3.1

Disegno del Modello

Autorizzativo

Fase 3.2

Test e Rilascio

Fase 3.3

Supporto Go Live e

Post Go Live

Nuovo Modello Autorizzativo

SAP

Macro Fase 3 – Disegno, Rilascio

e Supporto del Modello

Autorizzativo SAP


Disegno, Rilascio e Supporto del Modello Autorizzativo SAP

Tale approccio si rispecchia in quello normalmente definito "Modello Autorizzativo per Organizzazione" di cui

nel seguito riportiamo alcune caratteristiche:

■ il modello autorizzativo per organizzazione prevede una certa rigidità delle autorizzazioni e dei livelli

autorizzativi assegnati a un’unità organizzativa. All’eventuale cambiamento funzionale di un dipendente,

saranno de-assegnate le autorizzazioni appartenenti alla vecchia mansione organizzativa e, contestualmente,

saranno assegnate le autorizzazioni previste dalla nuova funzione organizzativa;

■ il modello autorizzativo per organizzazione richiede un minor effort sia all’IT, per la gestione delle autorizzazioni,

sia alle competenti funzioni aziendali per l’esecuzione delle attività di controllo in quanto si limiterebbe a

verificare l’applicazione delle regole di segregazione a livello di ruolo per unità organizzativa,

indipendentemente dal numero di utenti SAP che ne fanno parte.



Si propone di seguire una metodologia già consolidata per il disegno di Modelli Autorizzativi in ambienti SAP

complessi secondo le fasi della Road Map che indica il percorso logico e propedeutico da seguire.

Ciò varrà per la produzione della documentazione di progetto, per la definizione e messa a punto dei requirement,

per facilitare l’implementazione tecnica, per il collaudo e accettazione, per il rilascio in produzione del nuovo Modello

autorizzativo, per il supporto posto Go Live e per la creazione di knowledge interno alla società.

In particolare, gli step che la metodologia proposta prevede per la realizzazione dei Modelli Autorizzativi SAP

comprendono:

■ Disegno del Modello Autorizzativo SAP;

■ Test e Rilascio;

■ Supporto al Go Live e Post Go Live.

Fase 3.1

Disegno del Modello

Autorizzativo

Fase 3.2

Test e Rilascio

Fase 3.3

Supporto Go Live e

Post Go Live


SAP

Macro Fase 3 – Disegno, Rilascio

e Supporto del Modello

Autorizzativo SAP





Durante questa fase, si procede alla realizzazione della documentazione funzionale, organizzativa e tecnica del nuovo Modello

Autorizzativo.

La documentazione del nuovo Modello Autorizzativo ha come principale obiettivo di illustrare nel dettaglio i privilegi di accesso che

saranno implementati sul sistema SAP, anche dal punto di vista funzionale e organizzativo ed in considerazione dei Rischi SoD definiti

dalla Società.

Fase 3.1

Disegno del Modello

Autorizzativo

Fase 3.2

Test e Rilascio

Fase 3.3

Supporto Go Live e

Post Go Live


SAP

Fase 3.1 – Disegno del

Modello Autorizzativo SAP



Nella predisposizione del disegno del Modello Autorizzativo saranno considerate le

informazioni organizzative, le informazioni relative al “transato reale” e i rischi di

accesso (SoD Risk) definiti dalla Società.

Le informazioni saranno integrate, presentate e condivise con i Business Owners al

fine di rivedere, aggiornare e confermare i requisiti operativi di accesso alle funzionalità

SAP, per figura professionale.

Eventuali esigenze che emergeranno successivamente all’approvazione dei suddetti

documenti, o comunque in contrasto con il modello individuato, potranno essere

gestite come “change requests”.

Verrà inoltre predisposto il piano di dettaglio della successiva fase di Implementazione,

il piano di Test e il piano di Rilascio.

In base alle specificità e ai requisiti tecnici e organizzativi che potrebbero emergere

durante questa fase, potrebbe essere aggiornato il piano di massima di progetto.



Le attività incluse in questa fase sono sostanzialmente volte al test e al rilascio del nuovo Modello Autorizzativo SAP.

Durante questa fase saranno eseguiti i necessari test del sistema; in particolare:

• Unit Test: durante il quale vengono testate separatamente dal gruppo di progetto le autorizzazioni presenti nel nuovo Modello

Autorizzativo;

• User Acceptance Test: che prevede il test integrato da parte degli utenti business (Key Users).

La fase di Unit Test, svolta dall’IT della Società, o dal team di specialisti funzionali di ciascun Modulo SAP implementato, è da considerarsi come

determinante per individuare e prevenire errori tecnici autorizzativi, una volta che il modello autorizzativo sarà rilasciato in produzione.

Sarà inoltre predisposto un documento con la strategia di rilascio dei nuovi ruoli attraverso l’adozione di un approccio incrementale.

Le attività di rilascio potranno essere raggruppate in tre sotto wave temporalmente consecutive, inerenti ai dipartimenti organizzativi di:

• Wave 1: Amministrazione, Finanza e Controllo;

• Wave 2: Acquisti, Vendite, Logistica e Produzione;

• Wave 3: Human Resource, IT e altri dipartimenti.

Fase 3.1

Disegno del Modello

Autorizzativo

Fase 3.2

Test e Rilascio

Fase 3.3

Supporto Go Live e

Post Go Live


SAP

Fase 3.2 – Test e

Rilascio





Le attività incluse in questa fase sono volte al raggiungimento delle condizioni necessarie alla completa messa in produzione del nuovo

Modello Autorizzativo SAP.

Il periodo di supporto potrà essere articolato applicando il seguente approccio:

• Predisposizione del servizio di supporto funzionale a partire dalla data di rilascio in produzione dei ruoli previsti per ogni Wave (3);

• Il team di supporto opererà in modo integrato con la struttura di AMS / IT seguendone le regole organizzative e utilizzando gli

strumenti di “ticketing” in uso alla data del go live.

Si opera in affiancamento all’IT (o all’Outsourcer) al fine di garantire il massimo livello di assistenza, analizzando le richiese per fornire le

risposte a tutti i quesiti posti dagli utenti, che potranno emergere nell’utilizzo quotidiano del nuovo Modello Autorizzativo.

Durante il periodo di supporto post go live del nuovo Modello Autorizzativo è previsto che venga effettuato il passaggio di consegne al

team di AMS o agli altri Team coinvolti nei processi di gestione e governance del modello Autorizzativo (Internal Audit, HR, ect).

Fase 3.1

Disegno del Modello

Autorizzativo

Fase 3.2

Test e Rilascio

Fase 3.3

Supporto Go Live e

Post Go Live


SAP

Fase 3.3 – Supporto

durante il Go Live e Post

Go Live



Il passaggio di consegne verrà effettuato con delle sessioni apposite in cui si effettuerà il

knowledge transfer verso le figure identificate per ciascuna area e tramite il training on the job

svolto sulle modifiche che potrebbero essere segnalate dalle utenze del business a correzione del

Modello Autorizzativo.

Il passaggio di consegne verrà effettuato con l’utilizzo dei documenti prodotti nelle fasi progettuali

precedenti.

A seguito di correzioni o evoluzioni del Modello Autorizzativo richieste durante la fase di post go

live potrà essere effettuato un ulteriore aggiornamento della documentazione tecnica e

funzionale.



Attività progettuale Principali deliverable di progetto

Macro Fase 1 ■ Matrice degli Accessi SAP.

■ Mappatura AS-IS dei Processi e relativa distribuzione nell’organizzazione.

■ Mappatura AS-IS delle Figure Professionali SAP.

■ Risultati della comparazione tra i sotto processi business e le attività svolte.

Macro Fase 2 ■ Risultati delle Analisi degli accessi (SoD e CA) ed integrazione delle informazioni relative al

“transato reale”.

■ Definizione delle Matrice SoD.

■ Disegno dei Controlli Compensativi.

■ Processi e procedure di gestione e controllo dei Rischi SoD e della Matrice.

■ Road Map relativo all’adozione del Nuovo Modello Autorizzativo SAP”.

Macro Fase 3 ■ Disegno funzionale del Nuovo Modello Autorizzativo SAP;

■ Piano di Testing ;

■ Piano di Rilascio in ambiente di produzione.

■ Documento di Issue log (per Unit Test e User Acceptance Test);

■ Revisione del documento del Nuovo Modello Autorizzativo;

■ Piano di “hand over”.

Di seguito sono indicati i principali deliverable per ogni Macro Fase:

AS-IS dei Processi

Business & Best Practice

SoD

Matrice SoD

Nuovo Modello

Autorizzativo SAP


Deliverable

© 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative

("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati. Denominazione e logo KPMG e "cutting through complexity" sono marchi e segni distintivi di KPMG

International.

MANFREDI PASSALACQUA

IRM - MANAGER

[email protected]

KPMG ADVISORY

INFORMATON

RISK

MANAGEMENT

Security & Compliance in SAP: un approccio alla ... · L'acronimo SAP significa "Systeme,...

Documents

Transcript of Security & Compliance in SAP: un approccio alla ... · L'acronimo SAP significa "Systeme,...