of Duties di Telecom Italia Dove siamo e dove vogliamo arrivare

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "of Duties di Telecom Italia Dove siamo e dove vogliamo arrivare"

Eloisa Lazzari
6 anni fa
Visualizzazioni

1 L approccio alla Segregation of Duties di Telecom Italia Dove siamo e dove vogliamo arrivare Torino, 25 settembre 2008 Relatore: Costantino SANTO, Direzione Compliance 25/09/2008 1

2 Obiettivi Illustrare l approccio generale di TI: GdL misto Linee Guida Matrice SoD Le prime applicazioni: deleghe amministrative (manuali) profili SAP I prossimi passi: coerenza profili fra sistemi differenti 25/09/2008 2

Definizione Il principio della Separazione dei Ruoli/Attività è una delle regole cardine del modello organizzativo adottato dal Gruppo Telecom Italia, in particolare, tra i Principi Generali di

3 Definizione Il principio della Separazione dei Ruoli/Attività è una delle regole cardine del modello organizzativo adottato dal Gruppo Telecom Italia, in particolare, tra i Principi Generali di Controllo Interno è previsto: Le responsabilità devono essere definite e debitamente distribuite evitando sovrapposizioni funzionali o allocazioni operative che concentrino le attività critiche su un unico soggetto In generale, le principali responsabilità da tenere separate sono: Chi richiede <-> Chi autorizza <-> Chi paga Chi esegue (ad es. sviluppa) <-> Chi controlla (ad es. testa) 25/09/2008 3

Applicazione L attuazione di detto principio generale può tuttavia essere modulata in funzione della dimensione e del livello di complessità dell ente a cui si applica.

4 Applicazione L attuazione di detto principio generale può tuttavia essere modulata in funzione della dimensione e del livello di complessità dell ente a cui si applica. I principi e le regole derivate dal principio generale devono di norma trovare applicazione, in fase di progettazione ed esecuzione di: macro e micro strutture organizzative; processi, procedure e relative applicazioni informatiche; poteri di firma (procure, deleghe, ecc.); profili di accesso ai sistemi informativi. Nei casi di completa o parziale inapplicabilità, l ente si deve comunque dotare degli opportuni strumenti di controllo per limitare il rischio emergente dalla sovrapposizione di attività critiche. 25/09/2008 4

Gruppo di Lavoro Allo scopo di esplicitare il principio di controllo relativo alla SoD in TI è stato costituito ad hoc un GdL misto composto da: Finanza

5 Gruppo di Lavoro Allo scopo di esplicitare il principio di controllo relativo alla SoD in TI è stato costituito ad hoc un GdL misto composto da: Finanza Amministrazione e Controllo Human Resources & Organization IT Governance Direzione Compliance Il risultato è stato: + (Matrice SoD) (Linee Guida di Gruppo TI) 25/09/2008 5

6 Matrice SoD La matrice delle incompatibilità applica i principi generali della SoD nell ambito dei macroprocessi considerati, attraverso: il censimento delle attività significative ritenute a rischio ; le correlazioni tra attività per la conseguente identificazione delle aree di incompatibilità (rappresentate con X ); la valutazione delle aree a maggior rischio ( HX ), sulla base del potenziale impatto conseguente (a liv. teorico). In particolare la matrice è articolata sui seguenti macro-processi: Finanza; Investimenti; Bilancio; Magazzino, Approvvigionamenti; Vendite; Personale; Fiscale; Legale; Processi IT. 25/09/2008 6

7 Matrice SoD: Processo IT La matrice considera le attività IT: Sviluppo del software Esercizio dei sistemi Verifiche di vulnerabilità Gestione degli accessi logici e fisici Monitoraggio dei Log Le incompatibilità principali riguardano la segregazione degli ambienti di sviluppo e di esercizio/produzione e gli aspetti di Information Security dal resto delle attività. 25/09/2008 7

8 Linee Guida di Gruppo TI Per le incompatibilità ad alto rischio (contraddistinte da HX nella matrice) la protezione raccomandata è la separazione funzionale/organizzativa. Nel caso in cui la separazione non sia attuabile (per motivati vincoli di natura organizzativa e/o economica), devono essere poste in atto idonee misure alternative di protezione. Per quelle a rischio medio ( X nella matrice) la separazione delle attività è da attuare almeno a livello di singolo addetto, mediante conferimento di poteri/rilascio di profili di accesso opportunamente definiti. Per le incompatibilità a rischio medio il controllo di riduzione del rischio può essere effettuato anche dallo stesso soggetto responsabile mediante autocertificazione. 25/09/2008 8

9 Deleghe Amministrative Prima: Gestione cartacea delle richieste (inviate via fax) scannerizzate ed archiviate in un DB consultabile dal personale del Centro Servizi Amministrativi*. Controlli formali sulla richiesta a cura del Responsabile gerarchico e HR. * Nucleo che, in modo accentrato, effettua le attività amministrative e contabili per il Gruppo TI 25/09/2008 9

10 Deleghe Amministrative Attualmente: X 25/09/

11 Profili SAP Le norme aziendali per la gestione degli accessi logici ai sistemi e per il trattamento dei dati già attribuivano il compito di definire e concedere utenze e profili autorizzativi di accesso alle applicazioni, ai sistemi, e ai dati, rispettivamente: all Owner dell Applicazione, al Proprietario delle Informazioni. La nuova procedura definisce, inoltre, le figure dei: Responsabili dei Profili di Accesso a SAP (RPR-SAP) cui spetta, per delega ricevuta dall Owner dell Applicazione, la responsabilità di definire profili autorizzativi per l accesso a dati (in accordo con i vincoli di SoD), transazioni, report e oggetti SAP; Delegati o Responsabili dei Processi Autorizzativi nominati dall Owner dell Applicazione. (RPA) 25/09/

seguente diagramma di flusso: HR: Human Resources

12 Profili SAP La creazione e modifica delle utenze si svolge secondo le attività descritte nel seguente diagramma di flusso: HR: Human Resources and Organization GGU: Gruppo Utenze Gestione 25/09/

13 Coerenza profili fra sistemi (to be) SISTEMI Utente Resp. Gerarchico RPA per l area GGU Gestione Richieste Crea richiesta completa delle informazioni per il provisioning Approva- Rigetta la richiesta Approva- Rigetta la richiesta Gestione Utenze PWD Utenza Crea utenza sul sistema richiesto Gestione Autoriz/ Ruoli Concorda la riduzione dei privilegi o prende in carico azioni mitiganti Crea richiesta di assegnazione e Approva i ruoli derivanti dal mestiere richiesto Negativa Verifica SoD Tutti i sistemi TI Positiva 25/09/

14 25/09/

Documenti analoghi

L approccio metodologico per l analisi dei profili di accesso in ambiente SAP

L approccio metodologico per l analisi dei profili di accesso in ambiente SAP VERONA 25 26 Maggio 2006 Agenda Agenda Evoluzione di Sap in Poste Italiane Logiche autorizzative e processo di costruzione