AGLEA SAP Security Blog

SAP Data Scrambling

Scritto da Massimo Manara | May 19, 2020 10:00:00 PM

Perché serve proteggere i dati negli ambienti non produttivi?

 

Ne abbiamo parlato il 14/05/2020 al nostro webinar assieme ad EPI-USE.

La terminologia

Che cosa significa Masking? SAP in questo caso intende il mascheramento dei dati in ambienti produttivi. I dati non sono modificati a livello di database ma solo anonimizzati quando vengono presentati all'utente. Vedi prodotto SAP Field Masking, posso decidere se utenti vedono dati in chiaro o meno

 

  • Masking per diritto all’oblio? Effettuo un mascheramento dei dati in ambiente produttivo irreversibile (SAP ILM)

 

Che cosa significa Scrambling? SAP intende la modifica dei dati direttamente nel database e quindi in ambienti non produttivi. Vedi prodotto SAP TDMS Test Data Migration Server.

 

Perché anche i sistemi di test SAP devono essere protetti?

Per svariate ragioni, tra le principali:

  • L’accesso viene fornito, a volte con privilegi maggiori, ad utenti interni ed esterni
  • Anche un utente interno potrebbe quindi avere accesso a dei dati che in produzione normalmente non ha
  • La copia dei sistemi da produzione a QAS/TEST o DEV
  • Dati sensibili che vengono spostati in sistemi meno presidiati
  • Gestione delle connessioni tra i vari sistemi
  • Il sistema di test a seguito della copia dalla produzione equivale al sistema produttivo in termini di dati
  • I sistemi di test possono essere in ambienti cloud

 

Ma quali sono i dati da proteggere?

Sono diverse le informazioni da proteggere in SAP, soprattutto negli ambienti non produttivi.

 

Spesso esistono due richieste, completamente opposte tra loro:

  • Devo rendere non visibili i dati, ma non so cosa e dove
  • Nel dubbio facciamo scrambling su tutto

 

Alcuni esempi di dati rilevanti:

 

  • L’anagrafica dei clienti. Immagina se fosse accessibile ad un tuo competitor: potrebbe iniziare a svolgere delle azioni mirate per sottrarre dei clienti!
  • Se gli sconti fatti a tuoi clienti fossero accessibili a dei tuoi competitor, sarebbe un’informazione aggiuntiva per erodere quote di mercato alla tua azienda
  • Nel caso di sistemi informativi per la gestione del personale, se gli stipendi fossero accessibili e visibili da competitor, potrebbero allontanare risorse strategiche dall’azienda
  • La distinta base di un certo prodotto. Che cosa accadrebbe se fosse nelle mani della concorrenza?

Scrambling dei dati cosa considerare?

Usare degli script o cancellare i dati sensibili negli ambienti di test o quality può non essere la strategia migliore. In quanto quegli ambienti possono e devono servire per fare i test.

Se non hai i dati su cui fare dei test a cosa servono?

Nel caso di software selection per effettuare lo scrambling dei dati in SAP quali i principali parametri da tenere in considerazione:

 

  • Possibilità di fare copie selettive
  • Perché copiare sempre tutti i dati?
  • Ultimi X anni
  • Solo dati della società Z o Y
  • Garantire la coerenza e distribuzione dei dati. Es. mantenere le medesime proporzioni di dati. Se nel sistema HR produttivo ho il 50% di uomini e 50% di donne, anche nel sistema di test dovrà esserci la medesima distribuzione (pur avendo cambiato, ad esempio, i nomi)
  • Libreria già pre-definite (es. gestione del GDPR, SoX etcc)

 

Ulteriori esempi e proposte di soluzioni? Guarda il webinar che abbiamo fatto il 14/05/2020 assieme ad EPI-USE.

 

Rivedilo qui!