Perché serve proteggere i dati negli ambienti non produttivi?

Ne abbiamo parlato il 14/05/2020 al nostro webinar assieme ad EPI-USE.

La terminologia

Che cosa significa Masking? SAP in questo caso intende il mascheramento dei dati in ambienti produttivi. I dati non sono modificati a livello di database ma solo anonimizzati quando vengono presentati all'utente. Vedi prodotto SAP Field Masking, posso decidere se utenti vedono dati in chiaro o meno

• Masking per diritto all’oblio? Effettuo un mascheramento dei dati in ambiente produttivo irreversibile (SAP ILM)

Che cosa significa Scrambling? SAP intende la modifica dei dati direttamente nel database e quindi in ambienti non produttivi. Vedi prodotto SAP TDMS Test Data Migration Server.

Perché anche i sistemi di test SAP devono essere protetti?

Per svariate ragioni, tra le principali:

• L’accesso viene fornito, a volte con privilegi maggiori, ad utenti interni ed esterni
• Anche un utente interno potrebbe quindi avere accesso a dei dati che in produzione normalmente non ha
• La copia dei sistemi da produzione a QAS/TEST o DEV
• Dati sensibili che vengono spostati in sistemi meno presidiati
• Gestione delle connessioni tra i vari sistemi
• Il sistema di test a seguito della copia dalla produzione equivale al sistema produttivo in termini di dati
• I sistemi di test possono essere in ambienti cloud

Ma quali sono i dati da proteggere?

Sono diverse le informazioni da proteggere in SAP, soprattutto negli ambienti non produttivi.

Spesso esistono due richieste, completamente opposte tra loro:

• Devo rendere non visibili i dati, ma non so cosa e dove
• Nel dubbio facciamo scrambling su tutto

Alcuni esempi di dati rilevanti:

• L’anagrafica dei clienti. Immagina se fosse accessibile ad un tuo competitor: potrebbe iniziare a svolgere delle azioni mirate per sottrarre dei clienti!
• Se gli sconti fatti a tuoi clienti fossero accessibili a dei tuoi competitor, sarebbe un’informazione aggiuntiva per erodere quote di mercato alla tua azienda
• Nel caso di sistemi informativi per la gestione del personale, se gli stipendi fossero accessibili e visibili da competitor, potrebbero allontanare risorse strategiche dall’azienda
• La distinta base di un certo prodotto. Che cosa accadrebbe se fosse nelle mani della concorrenza?

Scrambling dei dati cosa considerare?

Usare degli script o cancellare i dati sensibili negli ambienti di test o quality può non essere la strategia migliore. In quanto quegli ambienti possono e devono servire per fare i test.

Se non hai i dati su cui fare dei test a cosa servono?

Nel caso di software selection per effettuare lo scrambling dei dati in SAP quali i principali parametri da tenere in considerazione:

• Possibilità di fare copie selettive
• Perché copiare sempre tutti i dati?
• Ultimi X anni
• Solo dati della società Z o Y
• Garantire la coerenza e distribuzione dei dati. Es. mantenere le medesime proporzioni di dati. Se nel sistema HR produttivo ho il 50% di uomini e 50% di donne, anche nel sistema di test dovrà esserci la medesima distribuzione (pur avendo cambiato, ad esempio, i nomi)
• Libreria già pre-definite (es. gestione del GDPR, SoX etcc)

Ulteriori esempi e proposte di soluzioni? Guarda il webinar che abbiamo fatto il 14/05/2020 assieme ad EPI-USE.

Rivedilo qui!