Segregation of Duties
Transcript
Segregation of Duties
L’approccio alla “Segregation of Duties” di Telecom Italia Dove siamo e dove vogliamo arrivare Torino, 25 settembre 2008 Relatore: Costantino SANTO, Direzione Compliance 25/09/2008 1 Obiettivi Illustrare l’approccio generale di TI: GdL “misto” Linee Guida Matrice SoD Le prime applicazioni: deleghe amministrative (manuali) profili SAP I prossimi passi: coerenza profili fra sistemi differenti 25/09/2008 2 Definizione Il principio della Separazione dei Ruoli/Attività è una delle regole cardine del modello organizzativo adottato dal Gruppo Telecom Italia, in particolare, tra i Principi Generali di Controllo Interno è previsto: “Le responsabilità devono essere definite e debitamente distribuite evitando sovrapposizioni funzionali o allocazioni operative che concentrino le attività critiche su un unico soggetto” In generale, le principali responsabilità da tenere separate sono: Chi richiede <-> Chi autorizza <-> Chi paga Chi esegue (ad es. sviluppa) <-> Chi controlla (ad es. testa) 25/09/2008 3 Applicazione L’attuazione di detto principio generale può tuttavia essere modulata in funzione della dimensione e del livello di complessità dell’ente a cui si applica. I principi e le regole derivate dal principio generale devono di norma trovare applicazione, in fase di progettazione ed esecuzione di: macro e micro strutture organizzative; processi, procedure e relative applicazioni informatiche; poteri di firma (procure, deleghe, ecc.); profili di accesso ai sistemi informativi. Nei casi di completa o parziale inapplicabilità, l’ente si deve comunque dotare degli opportuni strumenti di controllo per limitare il rischio emergente dalla sovrapposizione di attività critiche. 25/09/2008 4 Gruppo di Lavoro Allo scopo di esplicitare il principio di controllo relativo alla “SoD” in TI è stato costituito “ad hoc” un GdL “misto” composto da: Finanza Amministrazione e Controllo Human Resources & Organization IT Governance Direzione Compliance Il risultato è stato: + (Matrice SoD) 25/09/2008 (Linee Guida di Gruppo TI) 5 Matrice SoD La matrice delle incompatibilità applica i principi generali della SoD nell’ambito dei macroprocessi considerati, attraverso: il censimento delle attività significative ritenute “a rischio”; le correlazioni tra attività per la conseguente identificazione delle aree di incompatibilità (rappresentate con “X”); la valutazione delle aree a maggior rischio (“HX”), sulla base del potenziale impatto conseguente (a liv. teorico). In particolare la matrice è articolata sui seguenti macro-processi: Finanza; Investimenti; Bilancio; Magazzino, Approvvigionamenti; Vendite; Personale; Fiscale; Legale; Processi IT. 25/09/2008 6 Matrice SoD: Processo IT La matrice considera le attività IT: Sviluppo del software Esercizio dei sistemi Verifiche di vulnerabilità Gestione degli accessi logici e fisici Monitoraggio dei Log Le incompatibilità principali riguardano la segregazione degli ambienti di sviluppo e di esercizio/produzione e gli aspetti di Information Security dal resto delle attività. 25/09/2008 7 Linee Guida di Gruppo TI Per le incompatibilità ad alto rischio (contraddistinte da “HX” nella matrice) la protezione raccomandata è la separazione funzionale/organizzativa. Nel caso in cui la separazione non sia attuabile (per motivati vincoli di natura organizzativa e/o economica), devono essere poste in atto idonee misure alternative di protezione. Per quelle a rischio medio (“X” nella matrice) la separazione delle attività è da attuare almeno a livello di singolo addetto, mediante conferimento di poteri/rilascio di profili di accesso opportunamente definiti. Per le incompatibilità a rischio medio il controllo di riduzione del rischio può essere effettuato anche dallo stesso soggetto responsabile mediante autocertificazione. 25/09/2008 8 Deleghe Amministrative Prima: Gestione cartacea delle richieste (inviate via fax) scannerizzate ed archiviate in un DB consultabile dal personale del Centro Servizi Amministrativi*. Controlli formali sulla richiesta a cura del Responsabile gerarchico e HR. * Nucleo che, in modo accentrato, effettua le attività amministrative e contabili per il Gruppo TI 25/09/2008 9 Deleghe Amministrative Attualmente: X 25/09/2008 10 Profili SAP Le norme aziendali per la gestione degli accessi logici ai sistemi e per il trattamento dei dati già attribuivano il compito di definire e concedere utenze e profili autorizzativi di accesso alle applicazioni, ai sistemi, e ai dati, rispettivamente: all’ “Owner dell’Applicazione”, al “Proprietario delle Informazioni”. La nuova procedura definisce, inoltre, le figure dei: “Responsabili dei Profili di Accesso a SAP (RPR-SAP)” cui spetta, per delega ricevuta dall’Owner dell’Applicazione, la responsabilità di definire profili autorizzativi per l’accesso a dati (in accordo con i vincoli di SoD), transazioni, report e oggetti SAP; “Delegati o Responsabili dei Processi Autorizzativi” (RPA) nominati dall’Owner dell’Applicazione. 25/09/2008 11 Profili SAP La creazione e modifica delle utenze si svolge secondo le attività descritte nel seguente diagramma di flusso: HR: Human Resources and Organization GGU: Gruppo Utenze 25/09/2008 Gestione 12 Coerenza profili fra sistemi (to be) SISTEMI Gestione Richieste Utente Resp. Gerarchico Crea richiesta completa delle informazioni per il provisioning Gestione Utenze ApprovaRigetta la richiesta RPA per l’area ApprovaRigetta la richiesta Utenza Crea utenza sul sistema richiesto PWD Gestione Autoriz/ Ruoli Concorda la riduzione dei privilegi o prende in carico azioni mitiganti Negativa Tutti i sistemi TI 25/09/2008 GGU Crea richiesta di assegnazione e Approva i ruoli derivanti dal mestiere richiesto Verifica SoD Positiva 13 25/09/2008 14