Nel momento in cui un'impresa valuta l'ipotesi di migrare a SAP S/4 HANA, deve essere consapevole di andare incontro ad una rivoluzione a tutto tondo: non è solo il modo di accedere alle risorse aziendali e di gestire il business a cambiare, ma anche l'approccio alla verifica della conformità dei sistemi e alla sicurezza. Il salto rispetto alle soluzioni tradizionali non è indifferente: chi gestisce le architetture IT in azienda deve comprenderne gli aspetti tecnici, imparare cosa aspettarsi durante la migrazione, sfruttare gli strumenti per facilitare il processo e, così, minimizzare i rischi.
Rispetto al tradizionale database, la tecnologia in-memory di SAP S/4 HANA estende enormemente le prerogative del sistema, ma genera anche importanti modifiche rispetto ai modelli architetturali e soprattutto ai casi d'uso. Cresce il numero di utenti e di gruppi di utenti, imponendo una logica cooperativa che a questo punto va necessariamente sviluppata ed eseguita direttamente sul livello dati; viene introdotta la possibilità nativa di consultare il sistema tramite dispositivi mobili all'interno dell'ecosistema aziendale. Tutto questo allarga la superficie di attacco dell'organizzazione stessa, richiedendo strumenti di controllo appropriati per monitorarne l'estensione, a partire per esempio da soluzioni di gestione dei dispositivi mobili che permettano agli utenti di rispettare gli standard di sicurezza.
Sap S/4 HANA, sicurezza e dati
La questione centrale, però, è che l'evoluzione del modello di accesso ai dati e le modifiche sul piano transazionale avranno un impatto decisivo sull'ambiente di controllo interno di ogni organizzazione che decida di passare a SAP S/4 HANA. Sul piano finanziario, per esempio, l'accesso semplificato ai dati, con l'integrazione dei libri contabili secondari nel libro mastro principale, può rendere superflue determinate azioni di reportistica degli errori (vale a dire i controlli di coerenza nella contabilità e nel controllo). Una funzionalità di ammortamento delle risorse in tempo reale di S/4 HANA Finance, che sostituisce il tradizionale approccio batch al workflow, richiede quindi aggiustamenti rispetto non solo ai relativi controlli, ma anche alle procedure richieste all'utente. In alcuni casi, infatti, le transazioni preesistenti vengono sostituite, in altri casi vengono affiancate da nuove transazioni ottimizzate HANA oltre a quelle standard, che rimangono disponibili, mentre in altri casi ancora i codici di transazione diventano obsoleti.
SAP S/4 HANA e Fiori
Facendo un ulteriore esempio, SAP S/4 HANA utilizza Fiori come interfaccia utente principale, e ciò significa che qualsiasi assegnazione in termini di ruolo deve includere gruppi e cataloghi Fiori per determinare ciò che un utente sarà in grado di visualizzare e modificare accedendo al sistema. Quando si assegnano le credenziali in SAP S/4 HANA, è necessario considerare se gli utenti richiedono l'accesso diretto al database HANA anche per le funzionalità di reporting. In tal caso, il concetto di privilegio HANA deve essere incluso nella progettazione della sicurezza e gli amministratori e gli sviluppatori delle applicazioni devono esserne informati di conseguenza.
Tutte queste novità obbligano le imprese a rivedere e adattare il modello di autorizzazione SAP esistente. L'ideale sarebbe condurre una valutazione dei nuovi parametri di conformità in base ai processi specificati nella policy aziendale. Il risultato andrebbe quindi incorporato nel progetto sotto forma di rischi identificati per ciascuna fase del processo, insieme alle misure di controllo interno più adatte a mitigare tali rischi.
Assegnazione ruoli in SAP, elemento cardine della sicurezza
Abbiamo citato la revisione del modello autorizzativo SAP esistente, ma di cosa si tratta? Apriamo una piccola parentesi.
L’assegnazione dei ruoli in SAP è un elemento centrale della security e della gestione/controllo degli accessi. In SAP, i ruoli lavorano sinergicamente con le autorizzazioni per far sì che gli utenti del sistema possano attuare soltanto le transazioni inerenti alle proprie responsabilità. Data l’estensione degli ambienti SAP, l’assegnazione delle autorizzazioni è sempre un’attività complessa, dovendo rispondere a precisi requisiti di compliance normativa e a policy interne ispirate al principio della Segregation of Duties.
Parte integrante del processo è l’assegnazione dei ruoli SAP, che anche in questo caso sono sia tecnici che di business. Il meccanismo con cui operano gli ambienti SAP prevede l’assegnazione di specifici insiemi di autorizzazioni – come transazioni, report e dati - a ruoli ben definiti, che a loro volta vengono combinati con ulteriori oggetti. Alla fine, l’utente viene identificato in modo corretto e puntuale attraverso un insieme di informazioni composte da oggetti – come il Paese, la divisione e il team - e i ruoli, che possono essere più di uno e, a loro volta, abilitano specifiche transazioni.
Un approccio olistico alla sicurezza per SAP S/4 HANA
È dunque facile comprendere come queste trasformazioni implichino un impatto ancora più significativo sulla gestione della sicurezza, che necessita di una visione estesa – verrebbe da dire olistica – per affrontare il nuovo scenario applicativo. È importante concentrarsi sulla protezione di tutte le componenti all'interno dei processi aziendali, core e periferici, e non solo di quelli del sistema SAP in quanto tale. Inoltre, bisogna prestare particolare attenzione agli attacchi che sfruttano l'errore umano per penetrare nei network aziendali attraverso il workplace. Infine, occorre valutare l'implementazione di un meccanismo di automazione della sicurezza a livello aziendale, un meccanismo che funzioni in tempo reale e che si basi sul monitoraggio dei comportamenti degli utenti e sulla capacità previsionale degli scenari di rischio, integrando in modo completo e bilanciato misure di sicurezza preventive, investigative e reattive.
Sicurezza e SAP S/4 HANA, il gioco vale la candela?
Le sfide della migrazione a SAP S/4 HANA sono molte, ma sono molti di più i vantaggi che si ottengono una volta superato il guado: il miglioramento delle prestazioni, la semplificazione dell'esperienza utente e la modernizzazione dell'architettura ERP generano da subito un valore di business inestimabile, e costituiscono il punto di partenza per intraprendere, soprattutto facendo leva sul Cloud, il percorso della digital transformation nel modo più corretto.
