Il GDPR è uno strumento formidabile per le aziende che puntano a sviluppare una strategia data-driven, ma senza soluzioni per la governance della sicurezza -come Sap security- è una sfida che può mettere a dura prova i sistemisti. Se da una parte, infatti, il GDPR costituisce una serie di linee guida che aiutano le imprese a strutturare e organizzare meglio i dati dei clienti, dall'altra impone l'adozione di un regime di trasparenza, di policy adeguate e strumenti affidabili che garantiscano che le informazioni raccolte e trattate siano tanto al sicuro quanto costantemente accessibili dai legittimi proprietari. Oltre che, naturalmente, dalle Autorità chiamate a vigilare sull'effettivo stato dei sistemi di protezione dei dati.
Da quando il regolamento è diventato esecutivo, nel maggio del 2018, CIO e IT manager hanno di fatto cominciato a condividere le responsabilità rispetto a questo delicato tema con Risk manager e Data protection officer. Già da qualche anno, comunque, la tutela dei dati personali – e in generale di tutti i dati utili a migliorare il rapporto dell'azienda con il proprio ecosistema – è in molti ambienti di business considerata indispensabile per preservare asset di valore. Il GDPR non ha fatto altro che rafforzare una tendenza in via di consolidamento, cercando di regolare un fenomeno sotto gli occhi di tutti.
Il dato – qualsiasi tipo di dato – non attiene più a una divisione specifica: i dataset possono essere condivisi a più livelli e su più verticali, venendo riutilizzati e raffinati per effettuare analisi interdipartimentali o addirittura strategiche. I processi di raccolta, distribuzione ed elaborazione delle informazioni si diramano dunque lungo tutta l'organizzazione, contribuendo a far aumentare, e non di poco, la complessità di gestione dei flussi.
In questo nuovo scenario ciascuno deve però continuare a fare la propria parte, senza perdere di vista le attività che gli competono sul fronte della Data protection. Tra le altre novità, infatti, il GDPR ha introdotto il concetto di accountability, che prevede una totale aderenza tra un approccio alla tutela della privacy e gli effetti che genera sul piano pratico. In altre parole, ciascun titolare dei dati non soltanto è responsabile delle scelte che riguardano i mezzi, le procedure e le finalità relative al trattamento dei dati, ma deve anche essere in grado di rendere conto delle valutazioni che hanno portato a quelle scelte.
Negli ambienti SAP – sviluppati dalle imprese che puntano sull'analisi dei dati per trasformarsi in intelligent enterprise – la soluzione in questione sono i servizi SAP Security, un portfolio completo di attività di messa in sicurezza dei sistemi SAP e delle informazioni in essi contenute grazie al quale i CIO possono tenere sempre sotto controllo il grado di protezione dei dataset e disciplinare l'accesso a strumenti, processi e workflow applicativi in funzione delle policy aziendali e, naturalmente, delle prescrizioni del GDPR. Un alleato prezioso per dormire sonni tranquilli nell'era della Data protection e dell'accountability. I servizi SAP security ruotano attorno ai tre pilastri della sicurezza infrastrutturale, quella applicativa e quella relativa agli sviluppi.
SAP Security prevede azioni di verifica delle critical actions oltre che delle critical permissions. Parliamo di autorizzazioni non solo relative all'IT, ma anche di processi che riguardano da vicino il business, come la gestione delle anagrafiche e dei periodi contabili, oltre che dei rilasci di prodotto. SAP Security aiuta management e responsabili delle piattaforme informatiche a definire modelli autorizzativi per tutte le tipologie di utenza in termini di sistema e di interfaccia, con particolare riferimento a norme ISO e regolamenti ad hoc come il GDPR. Questo per quanto concerne l'universo applicativo. A livello di programmazione, SAP Security aiuta a gestire meglio il ciclo di vita del codice SAP, da cui poi dipendono molti degli altri scenari, sotto il profilo della sicurezza.