Una roadmap progettuale vincente, frutto di una profonda esperienza nell’implementazione di SAP a supporto di metodologie di control and risk assessment, ma anche molto altro, a supporto di una normativa molto esigente.
Con l’avvio a regime degli effetti normativi del GDPR è evidente la necessità di progettare modelli e implementare soluzioni applicative che aiutino a fornire risposte veloci e strutturate ad una regolamentazione molto esigente sia dal punto di vista della data governance, sia dal punto di vista della cyber security.
Qintesi, Gold Partner SAP, una delle poche realtà italiane ad aver conseguito la Recognised Expertise sulle soluzioni in ambito Governance Risk & Compliance, ha specifiche competenze in ambito Security, Risk & Compliance sulla tematica GDPR, in cui ha già avuto modo di essere coinvolta in diversi scenari implementativi.
“Operiamo con team multidisciplinari – ha sottolineato Giuseppe Caniglia – Head of Unit Risk & Compliance di Qintesi – in grado di interloquire con i diversi attori-chiave delle aree legale, marketing, organizzazione, operation e IT, impostando un assessment a 360° in grado di gestire una offering completa su aspetti metodologici ed applicativi. Questo ci permette di assicurare un corretto funzionamento del sistema rispetto alle funzionalità definite in fase di progettazione, con garanzia di un corretto deployment della strategia di data protection che i nostri clienti intendono perseguire”.
“Attraverso un data protection assessment strutturato in logica cyber risk based – ha continuato Caniglia – vengono poste le basi per una gestione sincronizzata dei processi di trattamento dei dati rispetto a tutti i processi aziendali, in modo che gli output richiesti dal regolamento vengano aggiornati in modo sistematico ed automatico man mano che si presentano ‘nuove situazioni’ da gestire”.
Sul tema GDPR Data Protection Management Qintesi ha investito e sta continuando a investire. Luigi Granitto – Manager della Unit Risk & Compliance – fornisce elementi caratterizzanti l’approccio seguito e propone alcuni utili suggerimenti:
→ Data Discovery e Data lineage“Il problema principale che ci troviamo ad affrontare in ambito GDPR è quello di identificare il dato personale nei sistemi. Tale problema in SAP non è di facile soluzione, sia per la presenza di un modello dati molto articolato, sia per i numerosi campi custom presenti nei sistemi SAP dei nostri clienti.
Solo una profonda conoscenza del modello dati di SAP e un’analisi dettagliata degli sviluppi custom consentono di produrre una prima mappa dei dati personali presenti negli applicativi in gestione. Ove ciò non risulti sufficiente, per un’analisi più approfondita è necessario ricorrere a dei tool, come quelli messi a disposizione da SAP Information Steward, che consentono, utilizzando algoritmi personalizzabili, di analizzare il contenuto dell’intero database SAP, individuando la presenza di dati personali anche in campi non conosciuti o ‘insospettabili’. Infine, sempre tramite SAP Information Steward, è necessario gestire nel continuo la mappatura di tali dati e le relative relazioni in tutti gli applicativi aziendali”.
→ Data Segregation“Una volta identificati i dati personali è necessario definire le policy di accesso a tali dati in un modello strutturato di data segregation. In altre parole è necessario garantire che le sole figure che in Azienda, hanno la necessità e il diritto di accedere a tali dati, possano effettivamente avere la possibilità di visualizzarli e/o trattarli. Tale obiettivo è possibile raggiungerlo implementando un modello di gestione dei ruoli e degli accessi in SAP facile da gestire e coerente con i requisiti di compliance. SAP Access Control mette a disposizione una serie di funzionalità che aiutato a realizzare tale modello di gestione degli accessi”.
→ Data Security Assessment“Oltre a gestire correttamente gli accessi è necessario proteggere i sistemi applicativi, e di conseguenza i dati personali ivi contenuti, applicando le best practice in ambito cyber security. Pertanto Qintesi introduce in ogni progetto GDPR un SAP Security Assessmentconforme alla SAP Secure Operations Map e agli altri principali framework di riferimento”.
→ Data Masking & Data Scrambling“Per far fronte alle richieste del GDPR suggeriamo di introdurre nei loro sistemi un nuovo modo di presidio della sicurezza del dato: il data masking. Con tale termine intendiamo sia il mascheramento dei dati personali in ambiente produttivo per i non autorizzati e per i super user (compresi eventuali SAP ALL anche temporanei), sia il mascheramento dei dati in ambienti di test o di pre-produzione. In quest’ultimo caso più che un semplice mascheramento dei campi è possibile, tramite algoritmi, rendere completamente anonimi i dati di test al momento della copia (data scrambling), trasformando in maniera coerente dati come nome e cognome, codice fiscale, ecc. Per ottenere tali risultati suggeriamo di utilizzare SAP Field Masking(per il mascheramento di dati produttivi) e SAP Test Data Migration System (per lo scrambling in ambiente di test)”.
→ Data Logging & Data Monitor“Il GDPR richiede l’identificazione e la successiva comunicazione di un data breach; per ottemperare a tale obbligo è innanzitutto necessario detenere un log di accesso ai dati personali. Tuttavia, gli audit log presenti nei sistemi SAP, che registrano la chiamata di una transazione o di un programma e la modifica di un dato in tabella non contengono tale informazione. Per questo suggeriamo di ampliare il log standard di SAP, implementando SAP UI Logging che permette di registrare anche la semplice visualizzazione di un dato personale in SAP.
Con SAP UI Logging il log di SAP è completo e detiene ogni tipo di evento rilevante, ma non risulta sufficiente per identificare un data breach. Un data breach può essere meglio identificato solo tramite un’analisi approfondita di tali log, che mettono in relazione tutti gli eventi, utilizzando pattern di sicurezza predefiniti, che tengono in considerazione la normale operatività degli utenti e dei sistemi, eliminando i falsi positivi. Tali funzionalità sono assicurate da SAP Enterprise Threat Detection“.
→ Data Archiving“Nel caso in cui il nostro Cliente dovesse avere una richiesta di cancellazione dei dati, ai sensi dell’Art. 17 del GDPR, gli suggeriamo di utilizzare SAP Information LifeCycle Management, modulo che consente di gestire tali richieste e sottoporle a periodi di retention del dato (per tipologia di dati) in base a Policy personalizzabili. In base ai periodi di retention impostati nella Policy, a seguito di una richiesta di cancellazione, il dato verrà prima automaticamente archiviato e successivamente cancellato”.
In conclusione possiamo affermare che la roadmap progettuale di Qintesi sul tema GDPR si dimostra vincente grazie all’approccio integrato metodologico-applicativo a supporto di concrete necessità di data protection perseguite dai propri Clienti, con l’obiettivo di rispondere a quesiti ben precisi che Qintesi – per prima – si è posta nell’affrontare una problematica così complessa.