Net Studio e Aglea hanno sviluppato una metodologia specificatamente per le organizzazioni che necessitano della compliance alla normativa SoD che basano i loro processi IT su SAP.

Anche nelle aziende “SAP-Centric” è normale che alcune o molte delle applicazioni o sistemi che devono essere soggetti alle SoD policies si basino su ambienti eterogenei. Come si fa allora ad ottenere un sistema di Governo degli Accessi IT che copra sia le applicazioni SAP che quelle “out-of-SAP”?

Aglea e Net Studio, combinando le loro esperienze pluridecennali, hanno sviluppato metodologie e maturato esperienze per realizzare un sistema di Governance degli accessi IT in ambienti misti SAP / non-SAP.

Visibilità globale “as-is”: rilevazione del “chi-può-fare-cosa” allo stato attuale

Vi mostriamo come si ottiene una visione comprensibile delle abilitazione a “grana fine” sulla globalità delle applicazioni sia SAP che non-SAP fornendo il dettaglio degli accessi IT che ciascun utente possiede.

Definizione del modello di accesso basato su esigenze aziendali (ad es. normative di Compliance)

La più comune regola di Compliance è la SoD (Segregation of Duties). Diversamente da molti altri strumenti la nostra metodologia affronta il tema del conflitto di accessi  IT sul principio delle “Business Activities” consentendo di includere con facilità Transazione degli ambienti SAP sia quelli non SAP

Impostazione delle Certificazioni degli accessi IT

La definizione del “chi-può-fare-cosa” è una responsabilità del Business (o dell’Organizzazione) non dell’IT, che solitamente la esegue ma non ne è l’owner. Vi facciamo vedere come si può passare l’ownership dell’assegnazione delle abilitazioni ai business owners.

La Gestione delle Richieste

Utenti, loro Responsabili, l’Help Desk… chiunque può avanzare richieste per accedere a dati o transazioni IT, entro i confini del modello pre-definito e limitatamente al catalogo delle applicazioni concesse all’utente. Ve mostriamo la logica con cui gli utenti possono vedere, richiedere accessi ad applicazioni SAP e non-SAP e come impostarne il workflow di approvazione.

Definizione del Risk Entitlement

Con il termine “Risk Entitlement” definiamo una combinazione significativa e correttamente determinata di Transazioni ed Oggetti autorizzativi, che – assieme – permettono di eseguire una specifica Business Activity. I Risk Entitlements sono quindi l’oggetto opportuno da applicare per confrontare le Business Activity, permettendo la rilevazione di Ruoli in conflitto. Con le nostre conoscenze dei processi aziendali siamo in grado di ottimizzare la matrice dei rischi al fine di minimizzare il fenomeno dei “falsi positivi”.