Per motivi di policy interne o regolamenti potrebbe essere necessario anonimizzare dei dati gestiti in SAP. Esistono diversi modi per rendere anonimi i dati. I primi elementi su cui concentrarsi sono i seguenti:
A seguito delle valutazioni è possibile capire come procedere e quale strumento utilizzare. Uno degli strumenti che SAP mette a disposizione è il Field Masking (vedi anche video seguente sul sito SAP: https://www.sap.com/assetdetail/2017/01/a4d972a3-a37c-0010-82c7-eda71af511fa.html).
Questo prodotto a pagamento è formato da due componenti:
L'UI Masking permette di andare a mascherare, tramite degli asterischi (****), ad esempio, i dati ritenuti sensibili. Questo livello di masking interviene nel process before output (BPO), non sono quindi modificati i dati nelle tabelle SAP.
Un esempio mostrato sotto riguarda la transazione PA20 sui dati retributivi
Dati anonimizzati:
Tramite una transazione di reportistica specifica (/UIM/VIEW_FAT) è inoltre possibile vedere chi ha visto cosa (in formato “chiaro” o anonimizzato). Questa funzionalità può essere utilizzata su diverse tecnologie di front end:
Il collegamento ad un SIEM (Security Information and Event Management) diventa fondamentale per poter evidenziare solo gli eventi ritenuti importanti nel caso di attivazione della componente UI Logging.
Dal punto di vista della terminologia SAP è fondamentale sottolineare la differenza tra il termine Masking ed il termine Scrambling.
Questi componenti possono essere utilizzati in ottica GDPR (approfondisci qui) o per la protezione di determinati dati aziendali (approfondisci qui).
Desideri capire o approfondire come impostare un progetto di mascheramento dei dati? Quali sono i punti di attenzione da considerare? Quali sono le soluzioni standard (SAP e non SAP) e quelle a pagamento, pregi e difetti?