Segregation of Duties

L’approccio alla
“Segregation of Duties”
di Telecom Italia
Dove siamo e dove vogliamo arrivare
Torino, 25 settembre 2008
Relatore: Costantino SANTO, Direzione Compliance
25/09/2008
1
Obiettivi
 Illustrare l’approccio generale di TI:
 GdL “misto”
 Linee Guida
 Matrice SoD
 Le prime applicazioni:
 deleghe amministrative (manuali)
 profili SAP
 I prossimi passi:
 coerenza profili fra sistemi differenti
25/09/2008
2
Definizione
Il principio della Separazione dei Ruoli/Attività è una delle regole cardine
del modello organizzativo adottato dal Gruppo Telecom Italia, in
particolare, tra i Principi Generali di Controllo Interno è previsto:
“Le responsabilità devono essere definite e debitamente distribuite
evitando sovrapposizioni funzionali o allocazioni operative che
concentrino le attività critiche su un unico soggetto”
In generale, le principali responsabilità da tenere separate sono:
 Chi richiede <-> Chi autorizza <-> Chi paga
 Chi esegue (ad es. sviluppa) <-> Chi controlla (ad es. testa)
25/09/2008
3
Applicazione
L’attuazione di detto principio generale può tuttavia essere modulata in
funzione della dimensione e del livello di complessità dell’ente a cui si
applica.
I principi e le regole derivate dal principio generale devono di norma
trovare applicazione, in fase di progettazione ed esecuzione di:
 macro e micro strutture organizzative;
 processi, procedure e relative applicazioni informatiche;
 poteri di firma (procure, deleghe, ecc.);
 profili di accesso ai sistemi informativi.
Nei casi di completa o parziale inapplicabilità, l’ente si deve comunque
dotare degli opportuni strumenti di controllo per limitare il rischio
emergente dalla sovrapposizione di attività critiche.
25/09/2008
4
Gruppo di Lavoro
Allo scopo di esplicitare il principio di controllo relativo alla “SoD” in TI è
stato costituito “ad hoc” un GdL “misto” composto da:

Finanza Amministrazione e Controllo

Human Resources & Organization

IT Governance

Direzione Compliance
Il risultato è stato:
+
(Matrice SoD)
25/09/2008
(Linee Guida di Gruppo TI)
5
Matrice SoD
La matrice delle incompatibilità applica i principi generali della SoD
nell’ambito dei macroprocessi considerati, attraverso:
 il censimento delle attività significative ritenute “a rischio”;
 le correlazioni tra attività per la conseguente identificazione delle
aree di incompatibilità (rappresentate con “X”);
 la valutazione delle aree a maggior rischio (“HX”), sulla base del
potenziale impatto conseguente (a liv. teorico).
In particolare la matrice è articolata sui seguenti macro-processi:
Finanza;
Investimenti;
Bilancio;
Magazzino,
Approvvigionamenti;
Vendite; Personale; Fiscale; Legale; Processi IT.
25/09/2008
6
Matrice SoD: Processo IT
La matrice considera le attività IT:
 Sviluppo del software
 Esercizio dei sistemi
 Verifiche di vulnerabilità
 Gestione degli accessi logici e fisici
 Monitoraggio dei Log
Le incompatibilità principali riguardano la segregazione degli ambienti di
sviluppo e di esercizio/produzione e gli aspetti di Information Security
dal resto delle attività.
25/09/2008
7
Linee Guida di Gruppo TI
Per le incompatibilità ad alto rischio (contraddistinte da “HX” nella
matrice)
la
protezione
raccomandata
è
la
separazione
funzionale/organizzativa.
Nel caso in cui la separazione non sia attuabile (per motivati vincoli di
natura organizzativa e/o economica), devono essere poste in atto
idonee misure alternative di protezione.
Per quelle a rischio medio (“X” nella matrice) la separazione delle
attività è da attuare almeno a livello di singolo addetto, mediante
conferimento di poteri/rilascio di profili di accesso opportunamente
definiti.
Per le incompatibilità a rischio medio il controllo di riduzione del rischio
può essere effettuato anche dallo stesso soggetto responsabile
mediante autocertificazione.
25/09/2008
8
Deleghe Amministrative
Prima:
Gestione cartacea delle richieste
(inviate via fax) scannerizzate ed
archiviate in un DB consultabile
dal personale del Centro Servizi
Amministrativi*.
Controlli formali sulla richiesta a
cura del Responsabile gerarchico e
HR.
* Nucleo che, in modo accentrato, effettua
le attività amministrative e contabili per il
Gruppo TI
25/09/2008
9
Deleghe Amministrative
Attualmente:
X
25/09/2008
10
Profili SAP
Le norme aziendali per la gestione degli accessi logici ai sistemi e per il
trattamento dei dati già attribuivano il compito di definire e concedere
utenze e profili autorizzativi di accesso alle applicazioni, ai sistemi, e ai
dati, rispettivamente:
 all’ “Owner dell’Applicazione”,
 al “Proprietario delle Informazioni”.
La nuova procedura definisce, inoltre, le figure dei:
 “Responsabili dei Profili di Accesso a SAP (RPR-SAP)” cui spetta,
per delega ricevuta dall’Owner dell’Applicazione, la responsabilità di
definire profili autorizzativi per l’accesso a dati (in accordo con i vincoli di
SoD), transazioni, report e oggetti SAP;
 “Delegati o Responsabili dei Processi Autorizzativi” (RPA)
nominati dall’Owner dell’Applicazione.
25/09/2008
11
Profili SAP
La creazione e modifica delle utenze si svolge secondo le attività
descritte nel seguente diagramma di flusso:
HR: Human Resources
and Organization
GGU: Gruppo
Utenze
25/09/2008
Gestione
12
Coerenza profili fra sistemi
(to be)
SISTEMI
Gestione
Richieste
Utente
Resp. Gerarchico
Crea richiesta
completa delle
informazioni per
il provisioning
Gestione
Utenze
ApprovaRigetta la
richiesta
RPA per l’area
ApprovaRigetta la
richiesta
Utenza
Crea utenza
sul sistema
richiesto
PWD
Gestione
Autoriz/
Ruoli
Concorda la
riduzione dei privilegi
o prende in carico
azioni mitiganti
Negativa
Tutti i
sistemi TI
25/09/2008
GGU
Crea richiesta di
assegnazione e Approva
i ruoli derivanti dal
mestiere richiesto
Verifica SoD
Positiva
13
25/09/2008
14