L’impatto del GDPR sui sistemi SAP

Lo ha spiegato Qintesi in un workshop con SAP Italia sul General Data Protection Regulation e sui vantaggi del SAP Cyber Security Risk Assessment

Partner Gold di SAP e unica società italiana ad aver conseguito la Recognized Expertise anche sulle soluzioni in ambito Governance Risk e Compliance, Qintesi ha sottolineato gli impatti del General Data Protection Regulation sui sistemi SAP.

La realtà specializzata nella consulenza direzionale e It lo ha fatto nel corso di un recente workshop con SAP Italia dedicato alla sicurezza dei dati intervenendo in più momenti dell’agenda anche per descrivere un approccio progettuale e offrire uno sguardo ai metodi e agli strumenti a disposizione delle aziende.

A presentare questo primo intervento è stato Luigi Granitto, responsabile delle soluzione in ambito Governance Risk e Compliance Practice. Dopo la premessa su che cosa sia il GDPR, dove si applica, cosa richiama e prevede, la presentazione ha mostrato gli impatti sugli applicativi SAP del regolamento.

Se il dato personale estende l’ambito di applicazione del GDPR

È stato, infatti, sottolineato come rientrino in ambito GDRP anche una semplice lista utenti o anagrafica fornitori e non più i soli dati storicamente ritenuti sensibili, come quelli contenuti in sistemi di gestione delle risorse umane. Il dato personale, in sostanza, estende l’ambito di applicazione del GDPR a tutti i sistemi SAP dal momento in cui vengono gestiti nome, cognome, email e informazioni di qualsiasi altro tipo.

In questo contesto, dove ogni applicativo SAP può avere impatti in ottica di compliance alla GDPR, diventa fondamentale garantire la sicurezza dei sistemi SAP con particolare focus sui dati personali. Obiettivo che Qintesi si propone di governare attraverso le proprie soluzioni in ambito Cyber Security.

Questo tipo di garanzia viene ottenuta in un primo momento eseguendo un Security Risk Assessment dei sistemi SAP, applicando i framework di riferimento e le relative best practice. Fondamentale in questa fase è il Know How in ambito Cyber Security che può essere detenuto dall’azienda o richiesto a società partner come Qintesi. Successivamente, è necessario intervenire sulla Data Segregation in modo da garantire che abbia accesso ai dati personali solo chi è effettivamente autorizzato ad accedervi. Tale obiettivo può essere ottenuto implementando b che permette di gestire il processo di disegno e provisioning di ruoli e utenti in maniera conforme alle policy e alla struttura organizzativa aziendale.

Nel caso in cui le politiche di sicurezza implementate e la Data Segregation non siano sufficienti a impedire l’accesso non autorizzato dei dati è fondamentale avere degli strumenti per tracciare l’accesso a determinati dati (SAP UI Logging), eventualmente criptando quelli ritenuti sensibili (SAP UI Masking), e successivamente analizzare tali accessi e correlarli con altri eventi accaduti sullo stesso sistema o su sistemi afferenti, con l’obiettivo di individuare tempestivamente i Data Breach. Su quest’ultimo punto Luigi Granitto ha sottolineato come Qintesi sia tra le prime società italiane a proporre l’implementazione di SAP Enterprise Threat Detection (ETD), un applicativo innovativo sviluppato su SAP Hana per analizzare e mettere in relazione i log prodotti da sistemi SAP e non SAP, individuando in tempo reale eventuali attacchi informatici.

Un apposito framework di sicurezza contro le minacce di tipo Cyber

Qintesi ha poi aggiunto che tramite SAP Process Control e SAP Risk Management è raggiungibile la conformità alle principali esigenze in ambito Governance previste dal GDPR. È infatti possibile formalizzare e documentare il processo per l’individuazione di eventuali rischi, gestire nel continuo il Privacy Impact Assesment.

Lo speech di Luigi Granitto si è concluso mostrando ai partecipanti l’approccio progettuale di Qintesi su questi temi. Un approccio che, in un orizzonte temporale di cinque mesi, prevede un iniziale Security Risk Assessment, per poi passare a un’attività di Data Segregation, che include la relativa implementazione di SAP Access Control, prosegue con l’implementazione di tool che consentono il logging e il masking dei dati come SAP UI logging e Field Masking, e si chiude con le relative attività di monitoring con SAP Enterprise Threat Detection. Il task relativo alla governance, comprensivo dell’istituzione di un Data Protection Officer, la messa in atto dei principi di accountability, del processo di Privacy Impact Assessment e della loro relativa formalizzazione attraverso l’implementazione di SAP Process Control, percorre tutti gli altri step progettuali.

I vantaggi del SAP Cyber Security Risk Assessment offerto da Qintesi

Durante il workshop, un successivo intervento di Qintesi ha visto Nicola Zezza, Cyber Security Specialist, sviluppare il tema SAP Cyber Security Risk Assessment. “Entro maggio 2018 – ha ricordato Zezza – le aziende che subiranno compromissione dei sistemi informativi e/o fughe di dati avranno l’obbligo di comunicarlo nel giro di 72 ore all’Autorità competente e agli utenti interessati. Conseguentemente, dovranno assicurarsi di possedere tecnologie in grado di identificare eventuali violazioni informatiche, di porvi rimedio e di poterlo dimostrare alle autorità competenti”. Ricordiamo che sono previste pesanti sanzioni per le aziende che non saranno valutate conformi al GDPR da parte del Garante della Privacy.

La nostra competenza in quest’ambito – ha specificato Zezza – si declina attraverso quello che definiamo Qintesi SAP Cyber Security Risk Assessment, ovvero un assessment diviso in tre fasi che permette di avere una panoramica di sicurezza dell’intero landscape SAP al fine di rilevare eventuali vulnerabilità di tipo Cyber”.

Più nello specifico, la prima di queste tre fasi descritte da Zezza è mirata all’identificazione dei sistemi chiave del landscape SAP, la seconda prevede l’assessment di questo landscape con il SAP Cyber Security Framework di Qintesi, mentre la terza e ultima fase riguarda la messa in sicurezza dello stack tecnologico attraverso la proposta e l’implementazione delle remediation.

Al termine dell’assessment viene rilasciato un SAP Cyber Security Report con le score card per ciascun controllo effettuato, l’eventuale remediation da applicare e la conformità con i principali framework internazionali di riferimento.

In conclusione, sono molti i vantaggi del servizio di SAP Cyber Security Risk Assessment offerto da Qintesi. Tra questi, l’analisi dello stato di sicurezza del landscape SAP in tempi ridotti, lo sviluppo di un framework di controllo interno sui processi critici, lo sviluppo di un piano operativo per l’implementazione di remediation di sicurezza per poi arrivare all’automatizzazione del monitoraggio degli eventi con tool di ultima generazione come SAP Hana Enterpise Threat Detection in grado di rilevare attacchi informatici in tempo reale.

Tra gli altri vantaggi, anche la sensibile riduzione del rischio degli accessi non autorizzati ed una maggiore confidenzialità, integrità e disponibilità dei dati. Naturalmente, questo approccio metodologico definito SAP Cyber Security Risk Assessment, permette di ottenere anche garanzie maggiori per gli stakeholder, così come una riduzione dell’impatto di perdite legate ad incidenti informatici.