La scelta di migrare SAP S/4HANA implica per l’azienda una rivoluzione a 360 gradi, non solo sul piano della gestione dei processi, ma anche su quello della sicurezza e della conformità normativa.
Oltre che a prepararsi a un nuovo modo di accedere alle risorse aziendali e di pianificare il business, rispetto a soluzioni di stampo più tradizionale bisogna essere pronti pure a rivedere i paradigmi da cui, sul piano delle architetture IT, dipendono compliance aziendale e cyber security.
Le potenziali criticità che risolve SAP S/4HANA
La tecnologia in-memory di SAP S/4HANA comporta una serie di vantaggi che vanno adeguatamente governati per tutelare l’integrità dei dati dell’organizzazione.
Innanzitutto, gli utenti – aziendali e non – hanno potenzialmente accesso a tutte le informazioni, anche quelle sensibili, in real time, da qualsiasi tipo di dispositivo e con una moltitudine di applicazioni diverse: l’ecosistema aziendale si allarga dunque in modo disomogeneo e in tempi rapidissimi. In assenza di una governance adeguata, c’è il rischio che si estenda a dismisura la superficie che hacker e cyber criminali hanno a disposizione per individuare touch point vulnerabili e, grazie alle tecniche di social engineering e alle soluzioni di intelligenza artificiale.
S/4HANA è la risposta a queste criticità: i processi di raccolta, distribuzione ed elaborazione delle informazioni vengono condivisi a più livelli e su più verticali, fuori e dentro l’azienda: i dataset possono essere riutilizzati e raffinati per effettuare analisi interdipartimentali così come per definire piani strategici di lungo periodo. Le attività di analisi si diramano dunque all’interno dell’intero ecosistema in cui opera l’organizzazione, contribuendo a mitigare la complessità di gestione e la difesa dei flussi.
Il corretto approccio a SAP S/4HANA per garantire sicurezza e conformità
Il tema della Data Protection va poi oggi considerato da due prospettive: se la prima ha a che fare con la difesa del patrimonio informativo (brevetti, know how e dati indispensabili per il funzionamento dei processi core del business) che garantisce vantaggio competitivo rispetto ai concorrenti, la seconda abbraccia la sfera della conformità normativa, che con l’introduzione del GPDR nel 2018 si è fatta molto più pressante di quanto fosse in precedenza. Oltre alle pesanti sanzioni (fino a 20 milioni di euro o il 4% del fatturato annuo) comminate dall’Autorità in caso di mancato adempimento a quanto prescrive il General Data Protection Regulation, bisogna mettere in conto anche danni reputazionali che possono ledere l’immagine dell’impresa presso i partner e, in special modo, presso il mercato e i consumatori.
Tutto ciò obbliga le imprese a rivedere e adattare molti dei parametri di conformità – a partire dal modello di autorizzazione SAP esistente – in base alle policy aziendali e agli utilizzi che si intendono fare della soluzione. Il risultato dell’assessment andrebbe incorporato nel progetto di implementazione della piattaforma S/4HANA identificando uno per uno i rischi connessi a ciascuna fase del processo e le misure di controllo interno più adatte a mitigare le minacce.
La gestione della sicurezza, in altre parole, necessita di una visione estesa e di un approccio olistico, con un’attenzione in più: ora bisogna concentrarsi sulla protezione di tutte le componenti coinvolte dallo svolgimento dei processi aziendali, core e periferici, e non solo di quelli gestiti attraverso S/4HANA. Come oramai noto a tutti, gli attacchi più pericolosi sono quelli che sfruttano l’errore umano per penetrare nei network aziendali attraverso il digital workplace, specialmente in mobilità, ed è per questo consigliabile automatizzare la sicurezza a livello di processo con meccanismi di individuazione e notifica dei comportamenti anomali di utenti e applicazioni. L’intelligenza integrata negli ambienti SAP farà il resto, aiutando gli amministratori di sistema a maturare capacità previsionali rispetto agli scenari di rischio, suggerendo misure di sicurezza di natura preventiva, investigativa e reattiva, oltre che piani di sviluppo compatibili con una piena conformità normativa.
