Visualizza articoli per tag: GDPR

Una roadmap progettuale vincente, frutto di una profonda esperienza nell’implementazione di SAP a supporto di metodologie di control and risk assessment, ma anche molto altro, a supporto di una normativa molto esigente.

Con l’avvio a regime degli effetti normativi del GDPR è evidente la necessità di progettare modelli e implementare soluzioni applicative che aiutino a fornire risposte veloci e strutturate ad una regolamentazione molto esigente sia dal punto di vista della data governance, sia dal punto di vista della cyber security.

Qintesi, Gold Partner SAP, una delle poche realtà italiane ad aver conseguito la Recognised Expertise sulle soluzioni in ambito Governance Risk & Compliance, ha specifiche competenze in ambito Security, Risk & Compliance sulla tematica GDPR, in cui ha già avuto modo di essere coinvolta in diversi scenari implementativi.

"Operiamo con team multidisciplinari - ha sottolineato Giuseppe Caniglia – Head of Unit Risk & Compliance di Qintesi – in grado di interloquire con i diversi attori-chiave delle aree legale, marketing, organizzazione, operation e IT, impostando un assessment a 360° in grado di gestire una offering completa su aspetti metodologici ed applicativi. Questo ci permette di assicurare un corretto funzionamento del sistema rispetto alle funzionalità definite in fase di progettazione, con garanzia di un corretto deployment della strategia di data protection che i nostri clienti intendono perseguire".

"Attraverso un data protection assessment strutturato in logica cyber risk based - ha continuato Caniglia – vengono poste le basi per una gestione sincronizzata dei processi di trattamento dei dati rispetto a tutti i processi aziendali, in modo che gli output richiesti dal regolamento vengano aggiornati in modo sistematico ed automatico man mano che si presentano 'nuove situazioni' da gestire".

Sul tema GDPR Data Protection Management Qintesi ha investito e sta continuando a investire. Luigi Granitto – Manager della Unit Risk & Compliance – fornisce elementi caratterizzanti l’approccio seguito e propone alcuni utili suggerimenti:

Data Discovery e Data lineage

"Il problema principale che ci troviamo ad affrontare in ambito GDPR è quello di identificare il dato personale nei sistemi. Tale problema in SAP non è di facile soluzione, sia per la presenza di un modello dati molto articolato, sia per i numerosi campi custom presenti nei sistemi SAP dei nostri clienti.

Solo una profonda conoscenza del modello dati di SAP e un’analisi dettagliata degli sviluppi custom consentono di produrre una prima mappa dei dati personali presenti negli applicativi in gestione. Ove ciò non risulti sufficiente, per un’analisi più approfondita è necessario ricorrere a dei tool, come quelli messi a disposizione da SAP Information Steward, che consentono, utilizzando algoritmi personalizzabili, di analizzare il contenuto dell’intero database SAP, individuando la presenza di dati personali anche in campi non conosciuti o 'insospettabili'. Infine, sempre tramite SAP Information Steward, è necessario gestire nel continuo la mappatura di tali dati e le relative relazioni in tutti gli applicativi aziendali".

Data Segregation

"Una volta identificati i dati personali è necessario definire le policy di accesso a tali dati in un modello strutturato di data segregation. In altre parole è necessario garantire che le sole figure che in Azienda, hanno la necessità e il diritto di accedere a tali dati, possano effettivamente avere la possibilità di visualizzarli e/o trattarli. Tale obiettivo è possibile raggiungerlo implementando un modello di gestione dei ruoli e degli accessi in SAP facile da gestire e coerente con i requisiti di compliance. SAP Access Control mette a disposizione una serie di funzionalità che aiutato a realizzare tale modello di gestione degli accessi".

Data Security Assessment

"Oltre a gestire correttamente gli accessi è necessario proteggere i sistemi applicativi, e di conseguenza i dati personali ivi contenuti, applicando le best practice in ambito cyber security. Pertanto Qintesi introduce in ogni progetto GDPR un SAP Security Assessment conforme alla SAP Secure Operations Map e agli altri principali framework di riferimento".

Data Masking & Data Scrambling

"Per far fronte alle richieste del GDPR suggeriamo di introdurre nei loro sistemi un nuovo modo di presidio della sicurezza del dato: il data masking. Con tale termine intendiamo sia il mascheramento dei dati personali in ambiente produttivo per i non autorizzati e per i super user (compresi eventuali SAP ALL anche temporanei), sia il mascheramento dei dati in ambienti di test o di pre-produzione. In quest’ultimo caso più che un semplice mascheramento dei campi è possibile, tramite algoritmi, rendere completamente anonimi i dati di test al momento della copia (data scrambling), trasformando in maniera coerente dati come nome e cognome, codice fiscale, ecc. Per ottenere tali risultati suggeriamo di utilizzare SAP Field Masking (per il mascheramento di dati produttivi) e SAP Test Data Migration System (per lo scrambling in ambiente di test)".

Data Logging & Data Monitor

"Il GDPR richiede l’identificazione e la successiva comunicazione di un data breach; per ottemperare a tale obbligo è innanzitutto necessario detenere un log di accesso ai dati personali. Tuttavia, gli audit log presenti nei sistemi SAP, che registrano la chiamata di una transazione o di un programma e la modifica di un dato in tabella non contengono tale informazione. Per questo suggeriamo di ampliare il log standard di SAP, implementando SAP UI Logging che permette di registrare anche la semplice visualizzazione di un dato personale in SAP.

Con SAP UI Logging il log di SAP è completo e detiene ogni tipo di evento rilevante, ma non risulta sufficiente per identificare un data breach. Un data breach può essere meglio identificato solo tramite un’analisi approfondita di tali log, che mettono in relazione tutti gli eventi, utilizzando pattern di sicurezza predefiniti, che tengono in considerazione la normale operatività degli utenti e dei sistemi, eliminando i falsi positivi. Tali funzionalità sono assicurate da SAP Enterprise Threat Detection".

Data Archiving

"Nel caso in cui il nostro Cliente dovesse avere una richiesta di cancellazione dei dati, ai sensi dell’Art. 17 del GDPR, gli suggeriamo di utilizzare SAP Information LifeCycle Management, modulo che

consente di gestire tali richieste e sottoporle a periodi di retention del dato (per tipologia di dati) in base a Policy personalizzabili. In base ai periodi di retention impostati nella Policy, a seguito di una richiesta di cancellazione, il dato verrà prima automaticamente archiviato e successivamente cancellato".

In conclusione possiamo affermare che la roadmap progettuale di Qintesi sul tema GDPR si dimostra vincente grazie all’approccio integrato metodologico-applicativo a supporto di concrete necessità di data protection perseguite dai propri Clienti, con l’obiettivo di rispondere a quesiti ben precisi che Qintesi - per prima - si è posta nell’affrontare una problematica così complessa.

Per maggiori informazioni: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Un doppio appuntamento a Torino e Milano per approfondire l'applicazione della normativa in vigore dal prossimo 25 maggio

Consoft Sistemi, col supporto di Abletech con la sua piattaforma di Information & Process Management più diffusa in Italia Arxivar, ha organizzato per la terza settimana di marzo un evento gratuito che metterà in luce i vari aspetti della normativa GDPR ormai prossima all'entrata in vigore.

"Abbiamo predisposto un evento della durata di una mattinata - ha illustrato Katia Manfrin, Business Unit Manager di Consoft Sistemi - che avverrà presso le nostre sedi Consoft Sistemi di Torino e Milano. Il primo incontro è previsto a Torino per il 26 marzo, dalle ore 10.30 alle 13.00, mentre il 27 marzo lo stesso evento si svolgerà anche a Milano, sempre allo stesso orario"

La Digital Transformation ha determinato la nascita di nuovi canali web attraverso cui viaggiano dati personali, con conseguente aumento del rischio di gestione connesso:
e-commerce, internet banking, portali medici, social network. Per tale motivo, il General Data Protection Regulation (GDPR), impone, a partire dal 25 maggio 2018, una gestione ancora più trasparente, sicura e controllata dei dati personali dei cittadini UE.

"L'applicazione della normativa - ha proseguito Katia Manfrin - vede il coinvolgimento di differenti ruoli e figure; il nostro evento ha l'obiettivo di analizzare i diversi aspetti e rispondere ai quesiti, affrontando tre principali scenari che riguardano il quadro legale, la compliance e gli strumenti abilitanti".

Questo il dettaglio di programma:

   QUADRO LEGALE: Quali sono gli obblighi per le grandi aziende e come concretamente fornisce supporto la figura di un legale - intervento dell'avvocato Luca Giacobbe (Studio Legale LG Law)

   COMPLIANCE: Come un solution integrator quale Consoft Sistemi riesce a dare il suo apporto e supporto all'attuazione della normativa - intervento di Paolo Asioli (Consoft Sistemi)

   STRUMENTI ABILITANTI: Come rendere più semplici gli adeguamenti richiesti e con quali strumenti: Arxivar come tecnologia abilitante - intervento di Dimitri Zanella (Abletech)

Al termine degli eventi è previsto un buffet con relativo networking.

Per iscriversi basta compilare il form al seguente indirizzo: http://bit.ly/2oZc0Ei

L'invito è rivolto esclusivamente alle aziende finali. La registrazione è soggetta a verifica e conferma da parte di Consoft Sistemi

Per ulteriori informazioni contattare Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

 

 

Ecco come Npo Sistemi propone alle aziende l'assessment alla norma GDPR in vigore dal prossimo 25 maggio

Cernusco sul Naviglio, 9 gennaio 2018 – Col nuovo anno da poco iniziato è ormai tempo per le aziende di allinearsi al GDPR. Com'è noto, le regole di questa normativa si applicano alle organizzazioni che operano all'interno della Comunità europea (indipendentemente da dove si trovi l'headquarter), che conducono attività di monitoraggio in Europa e che richiedono l'utilizzo di dati personali. In questo contesto le organizzazioni dovranno essere a brevissimo più proattive e possedere una predisposizione alla privacy che tenga conto del livello di rischio.

"Occorre un nuovo orientamento alla gestione della sicurezza dei dati personali — ha illustrato Francesco Gallo, Head of Software & Data Solutions di Npo Sistemi. — Un orientamento basato sulla responsabilità del titolare del trattamento dei dati nel determinare e implementare misure specifiche e adeguate per la protezione dei dati stessi. Tutto ciò comporta la necessità di analizzare le criticità connesse al trattamento dei dati per identificare i gap e le opportune misure tecnologiche e organizzative da attuare per garantire un livello di protezione adeguato".

"Sostanzialmente — ha dichiarato Gallo — Npo Sistemi opera in modo consulenziale a quattro mani con l'Azienda-Cliente partendo dai processi per arrivare fino all'individuazione di un elenco delle attività necessarie, declinate nello specifico contesto. Valutiamo poi, sempre assieme all'Azienda-Cliente, il coefficiente di rischio relativo alla propria realtà per determinare quali siano le azioni correttive da implementare. Il nostro valore aggiunto si esplica nel saper studiare il contesto, divenendo esperti dei processi del nostro Cliente e successivamente stabilendo assieme ad esso le priorità di intervento".

Npo Sistemi si propone dunque alle aziende come interlocutore unico per le esigenze di adeguamento al GDPR, ovvero per tutto il percorso che va dall'analisi dello scostamento della situazione iniziale in termini di processi e tecnologia, fino ad arrivare - attraverso tre fasi specifiche - all'obiettivo di compliance.

"Considerando anche il rilevante quadro sanzionatorio previsto dal GDPR in caso di non conformità — ha proseguito nella sua spiegazione Gallo — è fondamentale implementare adeguati processi, policy, procedure e strumenti per la Gestione della Sicurezza dei Dati Personali e dei servizi e sistemi che li trattano. Il GDPR ha una portata enorme sui sistemi informativi e tra i suoi aspetti più innovativi va considerato con attenzione il tema della portabilità dei dati e i principi di Privacy by Design e by Default. Mi piace qui evidenziare anche come chi ha scritto la norma abbia, di fatto, elevato il concetto di dato personale portandolo a un valore non più detenuto da chi possiede il dato ma da chi ne ha la titolarità in senso stretto. Si tratta di una importante evoluzione in termini di approccio, perché mette in condizione l'Azienda di dover custodire un valore che non è proprio".

Npo Sistemi, come precedentemente accennato, ha adottato un approccio al GDPR suddiviso in 3 fasi principali.

"La prima fase — ha sottolineato Gallo — prevede una consulenza alle organizzazioni a livello di conformità dei loro processi aziendali (legale, tecnico, organizzativo) rispetto alla norma. La seconda fa leva su una consulenza a livello di processi, quali, tra gli altri, l'Information Security Management, l'Incident Management, il Problem Management, l'IT Services Continuity Management e vari altri processi. Infine, la terza fase si concentra su intervento e remediation grazie alla progettazione di modelli organizzativi e sistemi informativi in linea con la norma GDPR e con le esigenze di governance. Quest’ultimo aspetto si esplica anche attraverso il nostro servizio di Data Protection Officer (DPO) e alla soluzione per la Gestione del Registro dei Trattamenti e del livello di Rischio (DPIA) denominata DocTrace GDPR, ovvero una soluzione applicativa, as a service, che consente di gestire il registro dei Trattamenti, le Checklist di assessment e il calcolo del livello di rischio per ciascuno dei trattamenti".

Con i tempi sempre più stretti, vista l'entrata in vigore del GDPR il prossimo 25 maggio, è dunque il momento di comprendere come la propria realtà aziendale si posizioni rispetto ai requisiti di questa normativa.

Npo Sistemi si propone come interlocutore unico per l'intero processo di ricezione delle esigenze normative e di compliance e i propri consulenti sono a disposizione delle aziende interessate per realizzare al più presto un primo Data Protection Impact Assessment.

Per maggiori dettagli scrivere a: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.