s sap per il general data protection regulation (gdpr) · 2019-03-11 · gdpr e sicurezza dei...
TRANSCRIPT
Milano L. GranittoOttobre 2018
SOLUZIONI SAP PER IL GENERAL DATA PROTECTION REGULATION (GDPR)
Approccio Qintesi: una case history di successo
1
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano – 2
Qintesi - Uso interno - Riproduzione vietata
Soluzioni SAP per il General Data Protection Regulation (GDPR) Milano – Ottobre 2018
5
3
INDICE
IL GRUPPO QINTESI
DATA PROTECTION & CYBER SECURITY
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano –
Qintesi - Uso interno - Riproduzione vietata
Milano – Ottobre 2018Soluzioni SAP per il General Data Protection Regulation (GDPR) 3
IL GRUPPO QINTESI ABOUT US
LE SOCIETÀ
> 250 DIPENDENTI
8INDUSTRY
6 SEDI
OPERATIVE
> 160 CLIENTI
9 CERTIFICAZIONI
SAP REX
24 MLNFATTURATO
9AREE DI
COMPETENZA
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano –
Qintesi - Uso interno - Riproduzione vietata
Milano – Ottobre 2018Soluzioni SAP per il General Data Protection Regulation (GDPR) 4
QINTESI
FINANCIAL REPORTING RISK MANAGEMENT
DATA PROTECTION
& CYBER SECURITY
ORGANISATIONAL MODEL RISK
MANAGEMENT
DATA QUALITY
OUTSOURCING RISK MANAGEMENT
SAP® Recognized Expertise
in Governance, Risk and Compliance
FINANCE PERFORMANCE MANAGEMENT
INSURANCE
OPERATIONSANALYTICS &DATA PLATFORM
CLOUD & INFRASTRUCTURE
DATA INTEGRATION & AUTOMATION
DEVELOPMENT & USER EXPERIENCE
RISK & COMPLIANCE
LE NOSTRE UNIT
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano –
Qintesi - Uso interno - Riproduzione vietata
Milano – Ottobre 2018Soluzioni SAP per il General Data Protection Regulation (GDPR) 5
PREMESSA LE AREE DI INTERVENTODATA PROTECTION & CYBER SECURITY
MONITORING
Individuare tempestivamente Data Breach
MASKING
Criptare i dati critici in ambienti produttivi e di test
LOGGING
Detenere un log di accesso ai dati
DISCOVERY & ARCHIVING
Individuare i dati personali e gestire dinamicamente «il diritto all’oblio»
SECURITYImplementare best practice in ambito Cyber Security
SEGREGATION
Gestire in maniera efficace la profilazione utente
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano –
Qintesi - Uso interno - Riproduzione vietata
Milano – Ottobre 2018Soluzioni SAP per il General Data Protection Regulation (GDPR) 6
PREMESSA SAP INFORMATION STEWARDDISCOVERY
Costruire e raccogliere vocaboli di business e
policy, regole di validazione (Validation
Rules) e regole di standardizzazione
(Cleansing Rules) dei dati aziendali
DISCOVERMONITOR & REMEDIATE
DEFINE
Conoscere e catalogare i dati in una data directory
strutturata (Data Profiling, Metadata Management)
Monitorare nel continuo la qualità del dato e
correggere le problematiche connesse
alla robustezza e accuratezza del dato
SAP Information Steward è la soluzione SAP dedicata all’analisi dei dati, gestione dei metadati e monitoraggio della loro qualità
Lo strumento consente di individuare e catalogare i dati gestiti in tutti gli applicativi aziendali
L’applicativo permette inoltre di misurare e migliorare ilgrado di accuratezza e coerenza dei dati presenti all’internodei sistemi informativi aziendali.
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano –
Qintesi - Uso interno - Riproduzione vietata
Milano – Ottobre 2018Soluzioni SAP per il General Data Protection Regulation (GDPR) 7
PREMESSA SAP ILMARCHIVING & DELETING
Nel corso del progetto sarà implementato SAP Information LifeCycleManagement (ILM) che consentirà di:
Archiviare i dati - riducendo il peso dei DB
Definire delle regole – per l’archiviazione e la cancellazionein base a eventi e/o date
Distruggere i dati - garantendo la compliance con quantoprevisto dalla GDPR in tema di diritto alla cancellazione deidati sia su eventuale richiesta dei dipendenti (master data,cv, ecc.) sia su richiesta di fornitori e clienti (anagraficafornitori, ordini di acquisto, business partner, contratti, ecc.)
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano –
Qintesi - Uso interno - Riproduzione vietata
Milano – Ottobre 2018Soluzioni SAP per il General Data Protection Regulation (GDPR) 8
PREMESSA SECURITY LIFECYCLE PROCESSSECURITY
Identify
Assess
Monitor
Protect
SECURITY LIFECYCLE PROCESS
2Esecuzione di assessmentdi sicurezza
1 Classificazione dei sistemi in base alla criticità dei dati
3Piano di remediation
4Monitoraggio
preventivo / warning
Implementazione di un processo operativo che permetta di avere visibilità del livello di sicurezzarichiesto sulle applicazioni SAP e quello realmente applicato con evidenza di eventuali gap.
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano –
Qintesi - Uso interno - Riproduzione vietata
Milano – Ottobre 2018Soluzioni SAP per il General Data Protection Regulation (GDPR) 9
PREMESSA RISK ASSESSMENTSECURITY
Fonte: Security map definite all’interno delle best practice SAP
SECURITY COMPLIANCE
SECURE OPERATION
SECURE SETUP
SECURECODE
Security Governance
Audit Emergency concept
Users and Authorizations
Users and Authorizations
Security ReviewAnd Monitoring
Security ReviewAnd Monitoring
Support Security
Change Management
Secure ConfigurationSecure Configuration Communication SecurityCommunication Security
Security Maintenance of SAP Code
Custom Code Security
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano –
Qintesi - Uso interno - Riproduzione vietata
Milano – Ottobre 2018Soluzioni SAP per il General Data Protection Regulation (GDPR) 10
PREMESSA SAP ACCESS CONTROLSEGREGATION
1
Violazioni matrici SOD in «realtime» e remediation
Gestire in maniera automatica gli accessi ai sistemi SAP e non SAP
ANALYZE RISK
2
MANAGEACCESS
3
Gestire utenze e ruoli
Certificare gli accessi
MAINTAIN ROLES
4
5
Monitorare i SuperUser
MONITOR PRIVILEGES
CERTIFY
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano –
Qintesi - Uso interno - Riproduzione vietata
Milano – Ottobre 2018Soluzioni SAP per il General Data Protection Regulation (GDPR) 11
PREMESSA SAP UI LOGGINGLOGGING
DATA ACCESS TEMPORARY LOG EMAIL ALERT
ALERTING CONDITION ALERT CATEGORY
Log access
Trigg
er
Sen
d
Mapping
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano –
Qintesi - Uso interno - Riproduzione vietata
Milano – Ottobre 2018Soluzioni SAP per il General Data Protection Regulation (GDPR) 12
PREMESSA SAP FIELD MASKING - SAP TDMS E SAP DATA SERVICE
MASKING
Nel caso in cui non sia sufficiente segregare gli accessi aidati tramite profilazione e intercettare eventuali accessi acausa di errori o attacchi è possibile criptare il dato
SAP Field Masking nasconde i dati classificati da qualsiasiaccesso (SE16n, SE11, download su excel ecc.) e da qualsiasitipologia di utente (compresi gli utenti con SAP ALL e SAPNEW)
SAP TDMS (Test Data Migration Server) semplifica lamigrazione dati dai sistemi produttivi verso gli ambienti disviluppo/test, permettendo il masking e/o lo scrambling eriducendo drasticamente la dimensione dei dati
SAP Data Service consente di gestire processi di dataquality e ETL in ambienti SAP e no SAP. In ambitoprogettuale verrà utilizzato per lo scrambling di datipersonali su sistemi non SAP
Qintesi - Uso interno - Riproduzione vietata
GDPR e Sicurezza dei sistemi SAP Milano –
Qintesi - Uso interno - Riproduzione vietata
Milano – Ottobre 2018Soluzioni SAP per il General Data Protection Regulation (GDPR) 13
PREMESSA SAP ENTERPRISE THREAT DETECTIONMONITORING
SAP Enterprise Threat Detection recepisce e analizza i logprovenienti dai Sistemi SAP (e non SAP)
Utilizzando le potenzialità di SAP HANA è in grado diindividuare in tempo reale un possibile Data Breachcollegando eventi accaduti su sistemi differenti
Contiene dei pattern (regole di Cyber Security) preimpostatida SAP
www.qintesi.com
MILANO | Sede OperativaVia Donatello 30, 20131 Milano (MI)Tel. +39 02 83428050
VENEZIA | Sede OperativaViale della Stazione 9, 30020 Marcon (VE)Tel. +39 041 8894100
BERGAMO | Sede LegaleVia G. Suardi 3, 24124 Bergamo (BG)Tel +39 035 247987
GENOVA | BF PartnersPiazza R. Rossetti 4/6D, 16129 GenovaTel. +39 010 8683467
MANTOVA | IT-LinkVia Stazione Romanore 2 46034 Borgo Virgilio (MN)
BRESCIA | IT-LinkComplesso Ares - Viale Colombo 24 25030 Torbole Casaglia (BS)
SAP REX by IndustrySAP REX by Solution
SAP® Recognized Expertise
in SAP S/4HANA
SAP® Recognized Expertise
in SAP HANA
SAP® Recognized Expertise
in Governance, Risk and Compliance
SAP® Recognized Expertise
in Financial Management
SAP® Recognized Expertise
in Enterprise Performance Management
SAP® Recognized Expertise
in Data Warehousing
SAP® Recognized Expertise
in Supplier Relationship Management
SAP® Recognized Expertise
in Insurance
SAP® Recognized Expertise
in Engineering, Construction &
Operations