Categorie: SAP GDPR

Essere compliant con il GDPR quando si adoperano i sistemi SAP vuol dire dimostrarsi in grado di difendere i dati attraverso molteplici strategie, per lo più stratificate e gestite in maniera dinamica. Occorre uno sforzo corale, bisogna coinvolgere l'intero team per coordinare azioni, strumenti, processi e competenze lungo un percorso che, una volta intrapreso, non ammette passi falsi.

Ci sono in gioco, infatti, sanzioni molto pesanti (fino a 20 milioni di euro o il 4% del fatturato annuo) e danni reputazionali che possono ledere l'immagine dell'impresa sia presso i partner sia, soprattutto, presso il mercato e i consumatori.

La Data Protection deve quindi trascendere il ruolo di mera funzione aziendale concepita per silos. Deve piuttosto diventare un flusso: va integrata, in senso orizzontale e con la massima priorità, in ciascuna delle attività svolte all'interno dell'ecosistema in cui opera l'organizzazione. Ciò significa estendere la compliance oltre i tradizionali perimetri dell'impresa e coinvolgere in questo cambio di paradigma tutti gli attori a monte e a valle delle operazioni che implicano la raccolta, la conservazione e il trattamento dei dati.

Anche perché con il principio di accountability introdotto dal GDPR, le strategie messe in atto dalle imprese devono essere formulate in modo da generare totale univocità tra gli approcci adottati per la tutela della privacy e gli effetti prodotti. Per chiarire il concetto: chi a vario titolo – Data Protection Officer, Chief Information Officer o Chief Risk Officer – si occupa del trattamento dei dati non soltanto è responsabile delle scelte che riguardano i mezzi, le procedure e le finalità relative alla loro raccolta, analisi ed elaborazione, ma in caso di audit o richieste specifiche dell'Authority  deve anche rendere conto delle valutazioni che hanno portato a scegliere una strada anziché un'altra.

 

Il Data Masking, un sistema efficace per risultare compliant al GDPR

Fatta questa premessa, è bene introdurre uno degli approcci più efficaci per far sì che i sistemi SAP siano compliant con il General Data Protection Regulation. Parliamo del Data masking, una serie di tecniche attraverso le quali è possibile sostituire i dati originali con record fittizi senza alcun impatto sulla loro integrità.

Il Data masking può essere applicato tramite offuscamento, anonimizzazione e pseudonomizzazione. Il processo di offuscamento dei dati comporta la sostituzione dei dati originali con elementi simili o casuali, oppure genera un riposizionamento di alcune delle informazioni che ne renda impossibile la decrittazione a intrusi e utenti non autorizzati. L'anonimizzazione, secondo le indicazioni contenute nel GDPR, altera i dati in “informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l’identificazione dell’interessato”. Risulta particolarmente efficace se l'impresa deve condividere i dati con soggetti terzi per elaborazioni statistiche o per operazioni di profilazione – magari in ottica di data monetization – che non richiedono riscontro univoco con l'identità dei titolari. Il GDPR considera infine la pseudonomizzazione la tecnica di riferimento per la conservazione sicura delle informazioni personali, specialmente rispetto alla minimizzazione dei dati negli ambienti di test.

Il processo di Data masking viene di solito gestito in modo automatizzato, facendo leva su software che crittografano i dati personali in maniera semplice, trasparente e irreversibile. La configurazione delle regole per l'esecuzione del processo di mascheratura va in genere eseguita una sola volta per l’intera infrastruttura: ciascun amministratore ha il compito di definire le policy da un'unica dashboard, che le applica poi a cascata e in tempo reale sull’intera infrastruttura SAP.

 

I sette passi per sviluppare la GDPR compliance in ambito SAP

SAP ha cominciato ad adattare la propria offerta a molti dei requisiti imposti dal GDPR già a partire dal 2010, quando ha sviluppato un primo DPMS (Data Protection Management System) certificato sulla base dello standard BS 10012. Si tratta di un sistema di gestione della protezione dei dati che permette di orchestrare l'infrastruttura offrendo alle unità di business linee guida specifiche, corsi di formazione sulla protezione dei dati e controlli regolari mediante una serie di audit. Il gruppo ha poi implementato nel 2012 una policy specifica sulla protezione dei dati e sulla privacy, che è la base per l'attuale DPMS.

SAP dunque ha integrato nei propri prodotti una suite di strumenti preconfigurati che garantiscono un'installazione sicura nel momento in cui si sceglie di aderire all'offerta dello specialista della business intelligence. Ma cosa bisogna fare, in seguito, per rispondere adeguatamente all'articolo 32 del GDPR, che prescrive di mettere “in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”? Occorre approntare una checklist che si articola in sette passaggi. Eccoli:

 

1. Analizzare l'ambiente SAP per determinare le aree chiave

Per prima cosa è necessario effettuare un assessment che consenta di controllare dove sono archiviati i dati sensibili e come vengono utilizzati all'interno dei repository e degli applicativi SAP. I team funzionali devono diventare consapevoli della posizione assegnata ai dati sensibili nei sistemi e sviluppare procedure per la visualizzazione e la potenziale rimozione delle informazioni.

 

2. Ridurre i dati sensibili sui sistemi non produttivi

Occorre diminuire l'esposizione dei dati sensibili sui sistemi non produttivi: da una parte, ricorrendo al Data masking, dall'altra, identificando i client e i sistemi che pur contenendo questo genere di informazioni rimangono di solito inutilizzati.

 

3. Modificare o creare i processi di accesso e modifica ai dati

Gli IT Manager devono istituire processi efficaci per le richieste di accesso e di diritto all'oblio ai dati personali provenienti dai legittimi titolari, creando flussi di lavoro ad hoc e, di concerto con il Data Protection Officer, assegnando responsabilità specifiche a team o a singole figure competenti della materia.

 

4. Rivedere i criteri di conservazione delle informazioni

Limitare la permanenza dei dati storici sui sistemi SAP vuol dire automatizzare le soluzioni di redazione e archiviazione dei record, trasformando l'intero processo in una misura standard del ciclo aziendale uniformando in un unico approccio procedure che cambiano da divisione a divisione e da progetto a progetto

 

5. Gestire gli accessi prevedendo nuove categorie di rischio

Diventa necessario prevedere sistemi che limitino l'accesso dei dipendenti e dei collaboratori ai dati sensibili di clienti e fornitori. Il primo step in questa direzione prevede l'identificazione di ruoli e utenti ben determinati, con set di regole e di notifiche di sistema per motivare e segnalare a chi detiene la responsabilità sulla Data protection ciascuna richiesta di accesso.

 

6. Crittografare tutti i dati in uscita

In caso di condivisione con soggetti esterni all'organizzazione, tutti i dati archiviati su file server o erogati tramite app e interfacce devono essere crittografati prima della trasmissione seguendo precise policy di sicurezza relative all'utilizzo degli endpoint.

 

7. Riprogrammare i controlli per rendere l'ecosistema più sicuro

Bisogna infine attivare controlli automatici e simulazioni di violazione dei dati per valutare quale potrebbe essere la risposta dell'organizzazione in caso di incidenti, sviluppando inoltre una procedura standard utile a riesaminare regolarmente i meccanismi che assegnano a ciascun utente le credenziali per l'accesso ai dati personali.

New call-to-action