La protezione dei dati negli ambienti SAP è un argomento rilevante per la competitività aziendale, seppur sia spesso posto in secondo piano. Domenico Rotundo, SAP Security Manager di Data Network Consulting (DNC), illustra metodologie e tecniche strategiche che possono salvare un’organizzazione da potenziali perdite, sia finanziarie che di reputazione, causate dalle violazioni dei dati, di conformità e non solo.
Proteggere i dati aziendali è un obiettivo che deve essere posto in primo piano all’interno di ogni organizzazione. Sempre più spesso assistiamo a un crescente livello di sensibilità degli utenti nei confronti di una corretta gestione e protezione dei dati personali. Tuttavia, se nella sfera della vita privata l’attenzione è posta verso la protezione di informazioni sensibili come il conto corrente bancario, le chat o i profili social, è importante ricordarsi che nell’ambito aziendale ne sono presenti altrettante che non devono essere ignorate.
Proteggere i dati per garantire la competitività aziendale
A livello aziendale, Rotundo evidenzia che “Il sistema SAP contiene informazioni altamente sensibili. Garantire la sicurezza dei dati è una priorità assoluta ma, a causa dell’immaterialità delle stesse, viene in alcuni casi percepita senza la necessaria urgenza.”
Il tema della sicurezza coinvolge in prima battuta la competitività aziendale, in quanto certe informazioni ed elementi chiave possono essere potenzialmente visti e analizzati da parte dei competitor. Basti pensare che i dati relativi a “listini prezzi, scontistica, ordini di vendita e la lista dei clienti potrebbero essere di grande utilità per i concorrenti. Queste devono essere accuratamente protette al fine di non permettere ai competitor di proporre condizioni più favorevoli”, spiega ancora Domenico Rotundo.
Le metodologie per proteggere i dati aziendali
In un’ottica globale in cui la teoria di Montesquieu del “Chiunque abbia il potere è portato ad abusarne” trova spesso potenziale compimento, risulta ancor più necessaria l’adozione di precise metodologie di protezione dei dati aziendali.
“In DNC, tramite policy sugli accessi, segregazione delle attività (SoD), ed un robusto authorization concept,” continua Rotundo “aiutiamo le aziende a prevenire i rischi. In particolare, la Segregation of Duties e la Security devono essere due aspetti visti come un unico soggetto. La sicurezza non finisce con l’acquisto di strumenti per la protezione dei dati aziendali, bensì ponendo la Security come processo parallelo alla SoD, in cui gli attori protagonisti sono l’organizzazione dei sistemi e i processi aziendali.”
Anche il Security Audit è uno strumento utile che abilita controlli periodici sul proprio sistema informatico così da poter contrastare potenziali attacchi, sia interni che esterni. “L’esperienza e il know-how che un Security Consultant può mettere a disposizione dei propri clienti consente la creazione di logiche autorizzative e processi di Security Audit totalmente personalizzati.” sottolinea Rotundo.
Per questo motivo, la figura di un partner esterno è indispensabile. Con l’esperienza e il know-how che un Security Consultant può mettere a disposizione dei propri clienti, è possibile attuare le migliori logiche autorizzative possibili, oltre a processi di Security Audit su misura.
Le soluzioni per la data protection negli ambienti SAP
Un’ulteriore tematica rilevante sono le soluzioni tecnologiche di sicurezza messe a disposizione dagli ambienti SAP. Partendo dagli scandali finanziari dei primi anni Duemila, che hanno portato alla conseguente creazione delle normative SOX, negli anni successivi sono stati sviluppati e rilasciati i primi tool risk Management. Anche recentemente, con le leggi sulla privacy, come il GDPR, il legislatore ha ulteriormente spinto il concetto autorizzativo verso un vero e proprio progetto organizzativo. Per rispondere a queste nuove esigenze createsi nel tempo, SAP ha sviluppato suite dedicate come GRC, che include SAP Risk Management, e IDM.
Non solo, la diffusione capillare dell’ERP SAP e la conseguente apertura al web hanno richiesto un ulteriore rafforzamento per la sicurezza architetturale e la segregazione delle attività. Rotundo evidenzia che “a partire dalle nuove versioni SAP Fiori sono state implementate by default configurazioni per rafforzare la sicurezza dei dati come: procedure di criptazione e compressione, protezione di percorsi RFC e DIAG, e l’applicazione di algoritmi di reiterazione e salatura.”
Nel dettaglio, SAP include diversi processi di criptazione, crittografia e mascheramento sia nello stoccaggio delle password e nello scambio dei dati sia nella visualizzazione degli stessi. Illustra Rotundo “Ad oggi, SAP gestisce 4 livelli di accesso ai dati, ovvero: front-end, oggetti da proteggere, attività e strutture organizzative. Risulta così un concetto autorizzativo complesso che necessita di competenze specifiche per una corretta implementazione, gestione, scalabilità e contenimento dei costi. Preservare la security vuol dire avere, quindi, una Governance dei Processi e la capacità di realizzare un modello autorizzativo robusto che preveda il controllo di accessi, codice personalizzato, connessioni RFC e web, oltre alla segregazione delle attività.”
I consigli di DNC: concretizzare un nuovo paradigma
Quali sono i consigli di Data Network Consulting per la gestione delle politiche di protezione dei dati? A livello europeo e mondiale il contesto legislativo è maturo, e tutto ciò porta a porre dei caposaldi sull’urgenza di gestire e governare i dati a livello aziendale.
“La compliance in materia di sicurezza e protezione dei dati aziendali è un’occasione per migliorare la reputazione di un’azienda, oltre che per mantenere il controllo sugli aspetti di governance e quindi supportare processi decisionali rapidi. Questi elementi possono salvare un’organizzazione da perdite finanziarie e di branding, violazioni dei dati, di conformità e altro ancora. Con l’esposizione di internet, le applicazioni web, la digitalizzazione dei processi e le crescenti frodi informatiche, è necessario un nuovo paradigma. La scelta migliore è quella di appoggiarsi ad un’azienda dotata del corretto know-how, così da poter offrire le migliori soluzioni tecnologiche possibili abbinate a un’esperienza trasversale maturata negli anni” conclude Rotundo.
