Home > Altro > QINTESI: GDPR e Cyber Security attraverso metodi, strumenti e framework

QINTESI: GDPR e Cyber Security attraverso metodi, strumenti e framework

scritto da: Marcomm | segnala un abuso

QINTESI: GDPR e Cyber Security attraverso metodi, strumenti e framework


In un recente workshop in collaborazione con SAP Italia sul General Data Protection Regulation (GDPR), Qintesi è intervenuta in più momenti dell’agenda per sottolineare gli impatti del regolamento sui sistemi SAP, descrivendo un approccio progettuale, ed evidenziare la propria leadership anche in ambito Cyber Security

 

Qintesi S.p.A. (www.qintesi.com), realtà italiana specializzata nella consulenza direzionale ed IT, con un organico di 180 dipendenti, è intervenuta all’evento SAP del 24 maggio scorso dedicato alla sicurezza dei dati. Qintesi, lo ricordiamo, è PARTNER GOLD di SAP ed l’unica società italiano ad aver conseguito la Recognized Expertise anche sulle soluzioni in ambito Governance Risk e Compliance.

Il primo argomento trattato da Qintesi si è focalizzato sul tema della GDRP e i relativi impatti sui sistemi SAP, con uno sguardo ai metodi e agli strumenti a disposizione delle aziende. In un secondo momento ha proposto un apposito framework di sicurezza contro le minacce di tipo Cyber.

A presentare il primo intervento è stato Luigi Granitto, responsabile delle soluzione in ambito Governance Risk e Compliance Practice. Dopo la premessa su che cosa sia il GDPR, dove si applica, cosa richiama e prevede, la presentazione ha mostrato gli impatti sugli applicativi SAP del regolamento. È stato sottolineato come rientrino in ambito GDRP anche una semplice lista utenti o anagrafica fornitori e non più i soli dati storicamente ritenuti sensibili, come i dati contenuti in sistemi di gestione delle risorse umane (es. SAP HR). Il dato personale, in sostanza, estende l’ambito di applicazione del GDPR a tutti i sistemi SAP dal momento in cui vengono gestiti nome, cognome, e-mail, ecc.

In questo contesto, dove ogni applicativo SAP può avere impatti in ottica di compliance alla GDPR, diventa fondamentale garantire la sicurezza dei sistemi SAP con particolare focus sui dati personali. Obiettivo che Qintesi si propone di governare attraverso le proprie soluzioni in ambito Cyber Security.

Questo tipo di garanzia viene ottenuta in un primo momento eseguendo un Security Risk Assessment dei sistemi SAP, applicando i framework di riferimento e le relative best practice. Fondamentale in questa fase è il Know How in ambito Cyber Security che può essere detenuto dall’azienda o richiesto a società partner come Qintesi. Successivamente è necessario intervenire sulla Data Segregation in modo da garantire che abbiano accesso ai dati personali solo chi è effettivamente autorizzato ad accedervi. Tale obiettivo può essere ottenuto implementando SAP Access Control che permette di gestire il processo di disegno e provisioning di ruoli e utenti in maniera conforme alle policy e alla struttura organizzativa aziendale.

Nel caso in cui le politiche di sicurezza implementate e la data segregation non siano sufficienti a impedire l’accesso non autorizzato dei dati è fondamentale avere degli strumenti per tracciare l’accesso a determinati dati (SAP UI Logging), eventualmente criptando quelli ritenuti sensibili (SAP UI Masking), e successivamente analizzare tali accessi e correlarli con altri eventi accaduti sullo stesso sistema o su sistemi afferenti, con l’obiettivo di individuare tempestivamente i Data Breach. Su quest’ultimo punto Luigi Granitto ha sottolineato come Qintesi sia tra le prime società italiane a proporre l’implementazione di SAP Enterprise Threat Detection (ETD), un applicativo innovativo sviluppato su SAP Hana che è in grado di analizzare e mettere in relazione i log prodotti da sistemi SAP e non SAP, individuando in tempo reale eventuali attacchi informatici.

L’intervento è proseguito spostandosi più specificatamente sugli argomenti di Governance Risk e Compliance.

Qintesi ha poi aggiunto che tramite SAP Process Control SAP Risk Management è raggiungibile la conformità alle principali esigenze in ambito Governance previste dal GDPR. È infatti possibile formalizzare e documentare il processo per l’individuazione di eventuali rischi, gestire nel continuo il Privacy Impact Assesment.

Lo speech di Luigi Granitto si è concluso mostrando ai partecipanti l’approccio progettuale di Qintesi su questi temi. Un approccio che, in un orizzonte temporale di 5 mesi, prevede un iniziale Security Risk Assessment, passa successivamente a un’attività di Data Segregation, che include la relativa implementazione di SAP Access Control, prosegue con l’implementazione di tool che consentono il logging e il masking dei dati come SAP UI logging e Field Masking, e si chiude con le relative attività di monitoring con SAP Enterprise Threat Detection. Il task relativo alla governance, comprensivo dell’istituzione di un Data Protection Officer, la messa in atto dei principi di accountability, del processo di Privacy Impact Assessment e della loro relativa formalizzazione attraverso l’implementazione di SAP Process Control, percorre tutti gli altri step progettuali.

Durante il workshop, un successivo intervento di Qintesi ha visto Nicola Zezza, Cyber Security Specialist, sviluppare il tema dal titolo SAP CYBER SECURITY RISK ASSESSMENT. “Entro maggio 2018 – ha ricordato Zezza – le aziende che subiranno compromissione dei sistemi informativi e/o fughe di dati avranno l’obbligo di comunicarlo nel giro di 72 ore all’Autorità competente e agli utenti interessati. Conseguentemente, dovranno assicurarsi di possedere tecnologie in grado di identificare eventuali violazioni informatiche, di porvi rimedio e di poterlo dimostrare alle autorità competenti”. Ricordiamo che sono previste pesanti sanzioni per le aziende che non saranno valutate conformi al GDPR da parte del Garante della Privacy.

“La nostra competenza in quest’ambito – ha specificato Zezza – si declina attraverso quello che definiamo Qintesi SAP Cyber Security Risk Assessment, ovvero un assessment diviso in tre fasi che permette di avere una panoramica di sicurezza dell’intero landscape SAP al fine di rilevare eventuali vulnerabilità di tipo Cyber”.

Più nello specifico, la prima di queste tre fasi descritte da Zezza è mirata all’identificazione dei sistemi chiave del landscape SAP, la seconda prevede l’assessment di questo landscape con il SAP Cyber Security Framework di Qintesi, mentre la terza e ultima fase riguarda la messa in sicurezza dello stack tecnologico attraverso la proposta e l’implementazione delle remediation.

Al termine dell’assessment viene rilasciato un SAP Cyber Security Report con le score card per ciascun controllo effettuato, l’eventuale remediation da applicare e la conformità con i principali framework internazionali di riferimento (NIST Cyber Security Framework e Cobit for SOX).

In conclusione, sono molti i vantaggi del servizio di SAP Cyber Security Risk Assessment offerto da Qintesi. Tra questi abbiamo l’analisi dello stato di sicurezza del landscape SAP in tempi ridotti, lo sviluppo di un framework di controllo interno sui processi critici, lo sviluppo di un piano operativo per l’implementazione di remediation di sicurezza per poi arrivare all’automatizzazione del monitoraggio degli eventi con tool di ultima generazione come SAP Hana Enterpise Threat Detection in grado di rilevare attacchi informatici in tempo reale.

Tra gli altri vantaggi, anche la sensibile riduzione del rischio degli accessi non autorizzati ed una maggiore confidenzialità, integrità e disponibilità dei dati. Naturalmente questo approccio metodologico definito SAP Cyber Security Risk Assessment, permette infine di ottenere garanzie maggiori per gli stakeholder, così come una riduzione dell’impatto di perdite legate ad incidenti informatici. In definitiva un altro passo di una roadmap orientata alla compliance con la legge 262, il decreto legislatativo 231, il regolamento europeo GDPR (General Data Protection Regulation) ma che deve necessariamente partire dall’adozione di un framework cyber security come il NIST.

Il contributo di Qintesi si è concluso con una dimostrazione live curata da Luigi Granitto e Nicola Zezza, di alcune delle soluzioni presentate, in particolare:

1) Il logging e il masking dei dati tramite SAP UI Logging e SAP Field Masking

2) L’analisi dei log e l’individuazione dei data breach tramite SAP Hana Enterpise Threat Detection.

Sulla base di quanto emerso da questi interventi effettuati da Qintesi all’interno del workshop sulla sicurezza di SAP, risulta facile comprendere come sia fondamentale, mai come in questo periodo in cui il GDPR sta per entrare in vigore, affidarsi per i temi di cyber security a un’azienda affidabile e consolidata. Un gruppo che fa della sicurezza e della protezione dati uno dei suoi principali core business. Qintesi, non solo pone in campo un Framework di controllo basato sulle SAP Security Best Practice (SAP Security Baseline Template) utilizzabile su tutti i sistemi ABAP, ma soprattutto mette a disposizione skill e certificazioni fondamentali per garantirne i massimi benefici all’interno delle aziende e strutture di qualsiasi dimensione.

Luigi Granitto | Nicola Zezza | Qintesi | SAP |



Commenta l'articolo

 

Potrebbe anche interessarti

QINTESI, azienda certificata ISO 9001:2015


Qintesi: una partnership con SAP orientata all’innovazione


GDPR Data Protection Management: le Qintesi Solutions


Qintesi entra nel capitale di IT-Link e continua a crescere


Qintesi, il futuro è SAP HANA


QIntesi sigla un accordo di collaborazione con Innext per offrire al mercato soluzioni SAP sulla Google Cloud Platform


 

Se ritieni meritevole il nostro lavoro fai una donazione


Recenti

Stesso autore

L’Innovation Wave del DUGIT

L’Innovation Wave del DUGIT
Condivise esperienze, criticità e opportunità delle tecnologie MS Dynamics e D365. Lo scorso 13 luglio il DUGIT ha organizzato il primo di due consueti eventi nel corso dell’anno solare che fanno il punto sui lavori svolti e soprattutto sui nuovi annunci Microsoft. DUGIT, acronimo di Dynamics User Group Italia, è l’unica community italiana di CIO e IT Manager utilizzatori delle tecnologie MS Dynamics e D365 ed è ufficialmente riconosciuta da Microsoft. DUGIT, aperta a tutte le a (continua)

AUSED: iPaaS, Integration Platform as a Service

AUSED: iPaaS, Integration Platform as a Service
Integrare dati, applicazioni e processi nascondendo la complessità Nell’ambito delle attività associative Aused2021, lo scorso 6 luglio si è svolto un webinar nel quale si è voluto sviluppare il tema del dell’Integration Platform as a Service. La community di AUSED si è confrontata sul tema dell’integrazione di dati, processi e sistemi attraverso l’esperienza di Giorgio Puglia, CIO di una nota azienda di elettrodomestici, che ha recentemente introdotto nel s (continua)

AUSED: BTaaS, Business Transformation as a Service

AUSED: BTaaS, Business Transformation as a Service
La Community AUSED si è confrontata su un nuovo modello per le imprese La community di AUSED si è confrontata lo scorso 23 giugno all’interno di un webinar su un nuovo modello evolutivo per le imprese denominato BTaaS, Business Transformation as a Service.Durante l’incontro hanno interagito Carla Masperi, Enrico Lanfranconi e Roberto Fraccapani (rispettivamente Chief Operating Officer, Cluster Sales Leader – S/4Hana Cloud and Platform & Technology e Head of Presa (continua)

Sanità e Cybersecurity – Tavola rotonda in streaming il 16 giugno, ore 10.00

Sanità e Cybersecurity – Tavola rotonda in streaming il 16 giugno, ore 10.00
Il settore della sanità è sempre più digitale, e aumentano i rischi per le architetture gestionali delle strutture, come per i dispositivi medici. Clusit, in collaborazione con AIIC, AISIS, AUSED presenta:Healthcare Security Summit 2021Tavola rotonda in streaming il 16 giugno, ore 10.00 Il settore della sanità è sempre più digitale, e aumentano i rischi per le architetture gestionali delle strutture, come per i dispositivi medici.Le quattro Associazioni analizzano lo stato dell’arte, a partire da una ricerca inedita di Bitdefe (continua)

AUSED: Data Security, uguale a Brand Security

AUSED: Data Security, uguale a Brand Security
Data e Brand Security al centro del webinar dello scorso 9 giugnoI CIO di AUSED, insieme ad Antonio Pusceddu (Secureworks – parte di Dell Technologies) e Fabio Zezza (Dell Technologies, divisione DPS), si sono confrontati il 9 giugno scorso sui temi della Data Security. Un webinar incentrato non tanto sulle tecnologie ma sulla Vision che traina fortemente il tema della sicurezza dei Dati e del Bra (continua)