Perché serve proteggere i dati negli ambienti non produttivi?
Ne abbiamo parlato il 14/05/2020 al nostro webinar assieme ad EPI-USE.
La terminologia
Che cosa significa Masking? SAP in questo caso intende il mascheramento dei dati in ambienti produttivi. I dati non sono modificati a livello di database ma solo anonimizzati quando vengono presentati all'utente. Vedi prodotto SAP Field Masking, posso decidere se utenti vedono dati in chiaro o meno
- Masking per diritto all’oblio? Effettuo un mascheramento dei dati in ambiente produttivo irreversibile (SAP ILM)
Che cosa significa Scrambling? SAP intende la modifica dei dati direttamente nel database e quindi in ambienti non produttivi. Vedi prodotto SAP TDMS Test Data Migration Server.
Perché anche i sistemi di test SAP devono essere protetti?
Per svariate ragioni, tra le principali:
- L’accesso viene fornito, a volte con privilegi maggiori, ad utenti interni ed esterni
- Anche un utente interno potrebbe quindi avere accesso a dei dati che in produzione normalmente non ha
- La copia dei sistemi da produzione a QAS/TEST o DEV
- Dati sensibili che vengono spostati in sistemi meno presidiati
- Gestione delle connessioni tra i vari sistemi
- Il sistema di test a seguito della copia dalla produzione equivale al sistema produttivo in termini di dati
- I sistemi di test possono essere in ambienti cloud
Ma quali sono i dati da proteggere?
Sono diverse le informazioni da proteggere in SAP, soprattutto negli ambienti non produttivi.
Spesso esistono due richieste, completamente opposte tra loro:
- Devo rendere non visibili i dati, ma non so cosa e dove
- Nel dubbio facciamo scrambling su tutto
Alcuni esempi di dati rilevanti:
- L’anagrafica dei clienti. Immagina se fosse accessibile ad un tuo competitor: potrebbe iniziare a svolgere delle azioni mirate per sottrarre dei clienti!
- Se gli sconti fatti a tuoi clienti fossero accessibili a dei tuoi competitor, sarebbe un’informazione aggiuntiva per erodere quote di mercato alla tua azienda
- Nel caso di sistemi informativi per la gestione del personale, se gli stipendi fossero accessibili e visibili da competitor, potrebbero allontanare risorse strategiche dall’azienda
- La distinta base di un certo prodotto. Che cosa accadrebbe se fosse nelle mani della concorrenza?
Scrambling dei dati cosa considerare?
Usare degli script o cancellare i dati sensibili negli ambienti di test o quality può non essere la strategia migliore. In quanto quegli ambienti possono e devono servire per fare i test.
Se non hai i dati su cui fare dei test a cosa servono?
Nel caso di software selection per effettuare lo scrambling dei dati in SAP quali i principali parametri da tenere in considerazione:
- Possibilità di fare copie selettive
- Perché copiare sempre tutti i dati?
- Ultimi X anni
- Solo dati della società Z o Y
- Garantire la coerenza e distribuzione dei dati. Es. mantenere le medesime proporzioni di dati. Se nel sistema HR produttivo ho il 50% di uomini e 50% di donne, anche nel sistema di test dovrà esserci la medesima distribuzione (pur avendo cambiato, ad esempio, i nomi)
- Libreria già pre-definite (es. gestione del GDPR, SoX etcc)
Ulteriori esempi e proposte di soluzioni? Guarda il webinar che abbiamo fatto il 14/05/2020 assieme ad EPI-USE.