In un recente workshop in collaborazione con SAP Italia sul General Data Protection Regulation (GDPR), Qintesi è intervenuta in più momenti dell’agenda per sottolineare gli impatti del regolamento sui sistemi SAP, descrivendo un approccio progettuale, ed evidenziare la propria leadership anche in ambito Cyber Security
Qintesi S.p.A. (www.qintesi.com), realtà italiana specializzata nella consulenza direzionale ed IT, con un organico di 180 dipendenti, è intervenuta all’evento SAP del 24 maggio scorso dedicato alla sicurezza dei dati. Qintesi, lo ricordiamo, è PARTNER GOLD di SAP ed l’unica società italiano ad aver conseguito la Recognized Expertise anche sulle soluzioni in ambito Governance Risk e Compliance.
Il primo argomento trattato da Qintesi si è focalizzato sul tema della GDRP e i relativi impatti sui sistemi SAP, con uno sguardo ai metodi e agli strumenti a disposizione delle aziende. In un secondo momento ha proposto un apposito framework di sicurezza contro le minacce di tipo Cyber.
A presentare il primo intervento è stato Luigi Granitto, responsabile delle soluzione in ambito Governance Risk e Compliance Practice. Dopo la premessa su che cosa sia il GDPR, dove si applica, cosa richiama e prevede, la presentazione ha mostrato gli impatti sugli applicativi SAP del regolamento. È stato sottolineato come rientrino in ambito GDRP anche una semplice lista utenti o anagrafica fornitori e non più i soli dati storicamente ritenuti sensibili, come i dati contenuti in sistemi di gestione delle risorse umane (es. SAP HR). Il dato personale, in sostanza, estende l’ambito di applicazione del GDPR a tutti i sistemi SAP dal momento in cui vengono gestiti nome, cognome, e-mail, ecc.
In questo contesto, dove ogni applicativo SAP può avere impatti in ottica di compliance alla GDPR, diventa fondamentale garantire la sicurezza dei sistemi SAP con particolare focus sui dati personali. Obiettivo che Qintesi si propone di governare attraverso le proprie soluzioni in ambito Cyber Security.
Questo tipo di garanzia viene ottenuta in un primo momento eseguendo un Security Risk Assessment dei sistemi SAP, applicando i framework di riferimento e le relative best practice. Fondamentale in questa fase è il Know How in ambito Cyber Security che può essere detenuto dall’azienda o richiesto a società partner come Qintesi. Successivamente è necessario intervenire sulla Data Segregation in modo da garantire che abbiano accesso ai dati personali solo chi è effettivamente autorizzato ad accedervi. Tale obiettivo può essere ottenuto implementando SAP Access Control che permette di gestire il processo di disegno e provisioning di ruoli e utenti in maniera conforme alle policy e alla struttura organizzativa aziendale.
Nel caso in cui le politiche di sicurezza implementate e la data segregation non siano sufficienti a impedire l’accesso non autorizzato dei dati è fondamentale avere degli strumenti per tracciare l’accesso a determinati dati (SAP UI Logging), eventualmente criptando quelli ritenuti sensibili (SAP UI Masking), e successivamente analizzare tali accessi e correlarli con altri eventi accaduti sullo stesso sistema o su sistemi afferenti, con l’obiettivo di individuare tempestivamente i Data Breach. Su quest’ultimo punto Luigi Granitto ha sottolineato come Qintesi sia tra le prime società italiane a proporre l’implementazione di SAP Enterprise Threat Detection (ETD), un applicativo innovativo sviluppato su SAP Hana che è in grado di analizzare e mettere in relazione i log prodotti da sistemi SAP e non SAP, individuando in tempo reale eventuali attacchi informatici.
L’intervento è proseguito spostandosi più specificatamente sugli argomenti di Governance Risk e Compliance.
Qintesi ha poi aggiunto che tramite SAP Process Control e SAP Risk Management è raggiungibile la conformità alle principali esigenze in ambito Governance previste dal GDPR. È infatti possibile formalizzare e documentare il processo per l’individuazione di eventuali rischi, gestire nel continuo il Privacy Impact Assesment.
Lo speech di Luigi Granitto si è concluso mostrando ai partecipanti l’approccio progettuale di Qintesi su questi temi. Un approccio che, in un orizzonte temporale di 5 mesi, prevede un iniziale Security Risk Assessment, passa successivamente a un’attività di Data Segregation, che include la relativa implementazione di SAP Access Control, prosegue con l’implementazione di tool che consentono il logging e il masking dei dati come SAP UI logging e Field Masking, e si chiude con le relative attività di monitoring con SAP Enterprise Threat Detection. Il task relativo alla governance, comprensivo dell’istituzione di un Data Protection Officer, la messa in atto dei principi di accountability, del processo di Privacy Impact Assessment e della loro relativa formalizzazione attraverso l’implementazione di SAP Process Control, percorre tutti gli altri step progettuali.
Durante il workshop, un successivo intervento di Qintesi ha visto Nicola Zezza, Cyber Security Specialist, sviluppare il tema dal titolo SAP CYBER SECURITY RISK ASSESSMENT. “Entro maggio 2018 – ha ricordato Zezza – le aziende che subiranno compromissione dei sistemi informativi e/o fughe di dati avranno l’obbligo di comunicarlo nel giro di 72 ore all’Autorità competente e agli utenti interessati. Conseguentemente, dovranno assicurarsi di possedere tecnologie in grado di identificare eventuali violazioni informatiche, di porvi rimedio e di poterlo dimostrare alle autorità competenti”. Ricordiamo che sono previste pesanti sanzioni per le aziende che non saranno valutate conformi al GDPR da parte del Garante della Privacy.
“La nostra competenza in quest’ambito – ha specificato Zezza – si declina attraverso quello che definiamo Qintesi SAP Cyber Security Risk Assessment, ovvero un assessment diviso in tre fasi che permette di avere una panoramica di sicurezza dell’intero landscape SAP al fine di rilevare eventuali vulnerabilità di tipo Cyber”.
Più nello specifico, la prima di queste tre fasi descritte da Zezza è mirata all’identificazione dei sistemi chiave del landscape SAP, la seconda prevede l’assessment di questo landscape con il SAP Cyber Security Framework di Qintesi, mentre la terza e ultima fase riguarda la messa in sicurezza dello stack tecnologico attraverso la proposta e l’implementazione delle remediation.
Al termine dell’assessment viene rilasciato un SAP Cyber Security Report con le score card per ciascun controllo effettuato, l’eventuale remediation da applicare e la conformità con i principali framework internazionali di riferimento (NIST Cyber Security Framework e Cobit for SOX).
In conclusione, sono molti i vantaggi del servizio di SAP Cyber Security Risk Assessment offerto da Qintesi. Tra questi abbiamo l’analisi dello stato di sicurezza del landscape SAP in tempi ridotti, lo sviluppo di un framework di controllo interno sui processi critici, lo sviluppo di un piano operativo per l’implementazione di remediation di sicurezza per poi arrivare all’automatizzazione del monitoraggio degli eventi con tool di ultima generazione come SAP Hana Enterpise Threat Detection in grado di rilevare attacchi informatici in tempo reale.
Tra gli altri vantaggi, anche la sensibile riduzione del rischio degli accessi non autorizzati ed una maggiore confidenzialità, integrità e disponibilità dei dati. Naturalmente questo approccio metodologico definito SAP Cyber Security Risk Assessment, permette infine di ottenere garanzie maggiori per gli stakeholder, così come una riduzione dell’impatto di perdite legate ad incidenti informatici. In definitiva un altro passo di una roadmap orientata alla compliance con la legge 262, il decreto legislatativo 231, il regolamento europeo GDPR (General Data Protection Regulation) ma che deve necessariamente partire dall’adozione di un framework cyber security come il NIST.
Il contributo di Qintesi si è concluso con una dimostrazione live curata da Luigi Granitto e Nicola Zezza, di alcune delle soluzioni presentate, in particolare:
1) Il logging e il masking dei dati tramite SAP UI Logging e SAP Field Masking
2) L’analisi dei log e l’individuazione dei data breach tramite SAP Hana Enterpise Threat Detection.
Sulla base di quanto emerso da questi interventi effettuati da Qintesi all’interno del workshop sulla sicurezza di SAP, risulta facile comprendere come sia fondamentale, mai come in questo periodo in cui il GDPR sta per entrare in vigore, affidarsi per i temi di cyber security a un’azienda affidabile e consolidata. Un gruppo che fa della sicurezza e della protezione dati uno dei suoi principali core business. Qintesi, non solo pone in campo un Framework di controllo basato sulle SAP Security Best Practice (SAP Security Baseline Template) utilizzabile su tutti i sistemi ABAP, ma soprattutto mette a disposizione skill e certificazioni fondamentali per garantirne i massimi benefici all’interno delle aziende e strutture di qualsiasi dimensione.