Categorie: SAP GDPR

Garantire la GDPR compliance del business su SAP è una sfida estremamente complessa e i CIO, che devono valutare strategie efficaci ed efficienti per far evolvere l'infrastruttura che distribuirà i servizi a collaboratori, partner e clienti, lo sanno bene.

Gli utenti SAP estraggono centinaia di documenti sensibili dai sistemi e dalle applicazioni SAP a scopo di reportistica, analisi e condivisione delle conoscenze con colleghi, partner e fornitori. La maggior parte delle aziende ha una conoscenza o un controllo molto limitati di dove stanno andando questi documenti, di chi accede e di come vengono utilizzati. Ciò sottopone le aziende a un elevato rischio di perdita di dati a causa di azioni dannose o accidentali. L'imperativo è mantenere costante visibilità sulla posizione delle informazioni sensibili, offrendo la possibilità ad autorità e titolari dei dati di tracciarne il percorso e monitorarne l'utilizzo in un ecosistema sempre più vasto e interdipendente.

 

Perché SAP è davvero GDPR ready

C'è da dire che SAP si è concentrata sui requisiti del GDPR da molto prima dell'introduzione della legislazione. A partire dal 2010, è infatti stato implementato un DPMS (Data Protection Management System) gestito centralmente, certificato sulla base dello standard BS 10012. Questo sistema di gestione della protezione dei dati consente di orchestrare l'infrastruttura offrendo alle unità di business linee guida specifiche, corsi di formazione sulla protezione dei dati e controlli regolari mediante una serie di audit. Nel 2012, SAP ha poi implementato una policy specifica sulla protezione dei dati e sulla privacy, che è la base per l'attuale DPMS.

Precisato questo, resta una serie di azioni che i CIO, di concerto con i Chief Risk Officer e i Data Protection Officer devono compiere per assicurarsi di non incorrere nelle sanzioni previste dalla mancata conformità dei sistemi al GDPR.

 

La GDPR compliance passo per passo

Sembra scontato dirlo, ma per risultare compliant con il GDPR il primo passo consiste nell'effettuare un controllo sulle posizioni in cui sono archiviati i dati sensibili all'interno dei sistemi SAP. Bisogna analizzare l'intero ambiente per determinare le aree chiave in cui sono archiviati tutti i dati personali e sensibili. I team funzionali devono sapere dove sono archiviati i dati sensibili nei sistemi SAP in modo da poter sviluppare procedure per la visualizzazione e la potenziale rimozione delle informazioni. Questo tipo di attività è propedeutica alla riduzione dei profili di rischio sulle varie piattaforme e può trarre vantaggio anche dall'inibizione all'accesso ai dati sensibili dei sistemi meno utilizzati o dei programmi di test. A proposito di accessibilità, è necessario anche creare processi ad hoc per le richieste di accesso e il diritto all'oblio da parte dei titolari dei dati, assegnandone la responsabilità a un team specifico e prevedendo una soluzione web rivolta al cliente per tracciare e gestire le richieste di consenso.

Mitigare il rischio di incidenti vuol dire anche limitare l'accesso dei dipendenti ai dati sensibili, identificando ruoli e utenti e sviluppando set di regole e notifiche in modo che ciascun tentativo di accesso avvenga con le dovute cautele e precauzioni. Ma non bisogna dimenticare di attuare una procedura per riesaminare regolarmente le procedure e documentare criteri e passaggi di convalida.

 

Crittografia dei dati in uscita e presidio degli endpoint

Quanto appena suggerito vale per i processi interni. Ma, come detto, SAP è una piattaforma in comunicazione con applicazioni che dialogano con tipologie diverse di utenti, non di rado situati fuori dall'organizzazione. Per questo bisogna crittografare i dati che escono dal sistema: qualsiasi dato archiviato su file server o distribuito tramite applicativi dovrebbe anzi essere crittografato prima della trasmissione. In questo senso, anche il presidio degli endpoint è fondamentale: è bene avviare di tanto in tanto simulazioni per verificare in che modo il sistema risponde a una violazione dei dati, sviluppando piani d'azione che delineino le responsabilità fondamentali di tutti gli attori coinvolti nel processo.

New call-to-action