Hai mai sentito parlare di questo genere di organizzazioni?
Che cosa sono? Come funzionano? Come può essere gestita la security SAP in questo genere di organizzazioni?
In poche parole, una nuova visione di fare "business", basata più che "sul fare le cose nel modo giusto" sul fai la cosa giusta. Che non sempre, nelle organizzazioni classiche avviene.
In questa visione sono descritti diversi tipi di società/organizzazioni, utilizzando dei colori:
*fonte immagine: (Reinventare le organizzazioni. Come creare organizzazioni ispirate al prossimo stadio della consapevolezza umana, autore: Frederic Laloux pag. 61)
Ognuno di questi colori rappresenta la maturità di una certa società, potremmo dire la propria impronta, fino ad arrivare a quella Teal nel corso del tempo.
Ma quali sono i caratteri principali che distinguono queste organizzazioni:
Ma quali sono i punti di forza di questo genere di organizzazioni?
Sembra follia (almeno per me oggi vedendo la situazione attuale delle società nostre clienti e della stessa nostra società per alcuni aspetti), ma merita attenzione provare ad immaginare e cogliere gli aspetti positivi. In alcune organizzazioni è già realtà da tempo.
Quindi cosa si fa? By default SAP_ALL a chiunque?
Ho provato ad immaginare la security SAP in questo genere di organizzazioni. Magari basate completamente su paradigmi cloud.
Maggiore condivisione e fruizione dei dati significa davvero meno sicurezza?
A mio avviso no.
Forse conviene dividere almeno in due parti il ragionamento:
Per le minacce dall'esterno valgono i ragionamenti attuali. Protezione dei sistemi, crittografia, protezione da ransomware, social engineering, cyber security nel senso più esteso del termine.
Per le minacce dall'interno, qui forse diventa più complicato. Se oggi, nella maggior parte delle organizzazioni, esistono delle suddivisioni di compiti ben precise, domani, in questo paradigma, potrebbe non essere così.
Cosa significa gestire la Segregation Of Duties nelle organizzazioni teal. Forse controlli mitigativi all'ennesima potenza?
È probabile che in questo caso gli sforzi di protezione dei dati siano concentrati quasi completamente a valle. I processi di assegnazione di abilitazioni siano meno stringenti, chiunque può avere il ruolo che vuole, ma tutti sanno che le informazioni visionate, esportate e gestite sono tracciate e controllate. Potrebbe aprirsi un capitolo ad hoc sul tema della liceità.
Vedremo!
E tu come la pensi? Scrivilo nei commenti!