W poprzednim artykule pisałam o audycie uprawnień za pomocą narzędzi SAST.
Audyt taki, jeśli przynosi zatrważające rezultaty w obszarze bezpieczeństwa SAP (czytaj: z raportu audytowego jasno wynika, iż jako organizacja potrzebujemy zmian w zakresie lepszego zarządzania użytkownikami i uprawnieniami w organizacji) często prowadzi do dyskusji dotyczącej aktualnych procesów zarządzania uprawnieniami.

Takie dyskusje często są świetnym początkiem drogi do rozpoczęcia projektu.
Warto zauważyć, iż w przypadku reorganizacji uprawnień można też zastosować tzw. „projekt pełzający” czyli naprawiamy i uszczelniamy system krok po kroku.  Jest to dobra opcja, gdy mamy mało zasobów ludzkich, czasu i pieniędzy na wielki projekt reorganizacyjny.

 

Projekt reorganizacji uprawnień- od czego zacząć?

Klienci zazwyczaj obawiają się wielkiego przedsięwzięcia i wywrócenia do góry nogami świata autoryzacyjnego, a co za tym idzie, świata codziennego biznesu. Często taki świat rządzi się swoimi prawami, role są przepełnione, zawierają setki nieużywanych transakcji lub S_TCODE są wypełnione,
o zgrozo, * (słownie: gwiazdką)!
Jednak coraz częściej atrakcyjniejszy staje się model reorganizacyjny  gdzie porządki robi się stopniowo, dział po dziale, czas na spotkania znajduje się poza gorącymi okresami w przedsiębiorstwie. Kroki milowe nie są wielkie i gwałtowne, ale są wdrażane stopniowo przyczyniając się do wzrostu świadomości autoryzacyjnej we wszystkich działach.

Dobrze, zatem jak robimy projekt?

Audyt
Weryfikuje obecną sytuację i jest argumentem przemawiającym za rozpoczęciem reorganizacji uprawnień. SAST analizuje m.in. wykorzystywane transakcje i generuje raporty, które muszą być przeanalizowane przez sponsora projektu, jego doradców oraz zespół projektowy.
W skład zespołu projektowego muszą wchodzić osoby pełniące rolę administratora uprawnień.

Zdefiniowanie ryzyk projektowych w przedsiębiorstwie
Standard przy każdym projekcie, nie tylko autoryzacyjnym.
W każdej organizacji będą to inne ryzyka. Może brak Key-userów? Może brak zespołu autoryzacyjnego?
Może niezrozumienie istotności obszaru uprawnień SAP przez Zarząd?

Plan projektu
Dzielimy projekt na najważniejsze fazy, podczas których muszą wydarzyć się odpowiednie działania
w nieprzypadkowej kolejności.

Koncepcja Uprawnień
Dokument, który opisuje kompletny model zarządzania uprawnieniami i użytkownikami w SAP
w organizacji. Najważniejsze: nie tworzy się go raz przy wdrożeniu SAP i się o nim zapomina.
Jest to „żyjący” dokument, aktualizuje go na bieżąco zespół autoryzacyjny przy każdorazowej modyfikacji uprawnień. Na wniosek klienta dostarczamy nasz szablon Koncepcji Uprawnień podczas projektu.

 

 Dobre praktyki

  • Kierownik projektu nie musi być specjalistą w zakresie autoryzacji SAP. Jednak nie może lekceważyć znaczenia odpowiedniej reorganizacji uprawnień SAP i zarządzania dokumentacją autoryzacyjną.
  • Odpowiedzialność, odpowiedzialność i jeszcze raz odpowiedzialność.
    Jak w każdym projekcie – należy znaleźć (i zachęcić jeśli wymagane) osoby odpowiedzialne za swój własny ogródek lub grządkę w ogródku. Tam gdzie odpowiedzialność jest zbiorowa i nieokreślona grupa pracowników może interweniować w model uprawnień na systemie bez stosowania Koncepcji Uprawnień, tam żaden projekt nie pomoże. Niestety.

Gotowi na projekt?  Zapraszamy, pomożemy Wam zrobić wiosenne porządki w autoryzacji!

 

autor: Bernadeta Szwarc /Sast Polska Team/

————————————————————————————————-

WARTO PRZECZYTAĆ: