Il dato c'è ma non si sa...

Posted by Massimo Manara on Dec 28, 2022 8:15:00 AM
Massimo Manara
Find me on:
LinkedIn

Organizzazioni data driven. Ma cosa significa? Ci sono aspetti di sicurezza del dato che dobbiamo considerare?

 

datadriven

 

Come queste tecniche possono tornare utili anche per la sicurezza delle informazioni? E come oggi viene gestito il dato?

 

Attenzione, questo articolo non fornisce soluzioni!


Essere Data Driven

Oggi ogni organizzazione dovrebbe essere "guidata" dai dati. Ovvero attraverso i dati collezionati è possibile basarsi per capire cosa fare, cosa accade, in real time oppure per "prevedere" il futuro. E quindi prendere delle decisioni basandosi su dati oggettivi per quanto più possibile. 

Ma sappiamo chi legge cosa, quando? Come avviene questo processo? Come l'aspetto di essere data driven può tornare utile anche per gli aspetti di sicurezza?

 

Data Drive sugli aspetti di sicurezza del dato

Immagina di dover capire chi ha accesso ad un determinato dato in azienda? Sei in grado? Non intendo solo a livello "utente" ma anche a livello "macchina".

Quante interfacce esistono nei nostri sistemi che permettono giustamente di leggere, esportare ed elaborare dati?

La modifica di un certo dato quali impatti nel sistema o nei sistemi correlati?

 

Mi è capitato di affrontare questo progetto in diverse attività legate alla protezione dei dati personali. Una delle prime difficoltà in generale è quella di capire quali sono i dati? Poi passi a capire dove sono questi dati. Ma non è ancora sufficiente.

 

In quanto, soprattutto in SAP, essendo un sistema integrato, questi dati possono essere letti ed elaborati da altri (utenti o sistemi). Quindi non è spesso possibile isolare un certo sistema.

 

Ovvero se modifico un certo dato in questo campo cosa accade? Per chi ci potrà essere un problema?

 

Ma quanto conta in SAP collezionare i dati? Ma quali possono essere utili?

Mi domando spesso quali siano i dati utili da conservare per semplificare parte delle risposte alle domande sopra. Certo esistono strumenti che permettono in parte di rispondere. Ma forse documentando e collezionando meglio le informazioni potremmo già fare molto, almeno come "accountability". 

 

Nel 2020 avevo parlato di come è possibile in SAP raccogliere i molti log che possono essere generati. Leggi anche questo articolo: Data Scientist e SAP security cosa serve e come fare?

 

SAP Log Instagram

Ricordati di seguire anche il nostro canale Instagram con le MEME che pubblichiamo sulle tematiche che riguardano gli aspetto di Security SAP, Data Protection, Governance etcc

 

Ma allora cosa posso o dovrei collezionare perché possa essere utile in futuro?

  • Vai a censire le funzionalità custom che sviluppi (transazioni o APP)
    • attenzione, non solo un documento WORD, l'ideale sarebbe definire un vero e proprio database contenente, quali dati (tabelle-campi) sono estratti e le tipologie di questi dati es. personali o meno, chi le usa, e in caso di programmi da quali sistemi sono richiamati
  • Documenta le interfacce tra i sistemi
    • A cosa servono? Chi è l'owner? Che dati esportano? Per quale motivo?

 

Iscriviti al blog se ancora non lo hai fatto!

 

Topics: gdpr, sap data protection

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutti

SAP Security Blog AGLEA RSS Feed

Aglea s.r.l. - Soggetta alla direzione e coordinamento di Horsa S.p.A. - P. IVA: IT 03868780960 - 2024 | Privacy Policy - Cookie Policy