Sicurezza e Protezione dei Dati

L’attuale periodo storico può essere univocamente definito come l’Era dell’Informazione, all’interno della quale i principali driver per il successo duraturo e sostenibile di un’Organizzazione si identificano nella capacità di poter disporre di informazioni qualitativamente significative, nonché nel loro controllo e idonea gestione.

Una delle maggiori sfide che un’Organizzazione deve fronteggiare, pertanto, è quella che concerne la salvaguardia e la protezione dei propri contenuti informativi, prevenendone al contempo il danneggiamento, la perdita o la condivisione senza rilasciata autorizzazione.

Un primo meccanismo di controllo attuabile consiste nello stabilire formalmente la tipologia di utenti, operanti all’interno dell’organizzazione, che può partecipare attivamente alla manipolazione e alla gestione delle differenti tipologie di dati.

Il presente paragrafo annota le principali configurazioni del Budget Planning Tool sviluppate per rispondere all'esigenza dell’Agenzia di delineare, internamente la propria architettura software informativa, un sistema gerarchico strutturato di controllo dei dati, che ne abiliti il corretto trattamento salvaguardia e poggiante sulla definizione di precisi profili utente contrassegnati da specifici ruoli e autorizzazioni all’interno dei Processi.

In CCH® Tagetik un utente viene istanziato manualmente all'interno di un apposito database applicativo denominato Repository, presente in una sezione dell’interfaccia Web di sistema. Al proprio interno vengono definite e raccolte sia le informazioni necessarie per autenticare le credenziali di accesso al sistema19 sia quelle che sanciscono i diritti e le restrizioni di ogni categoria di utente.

In particolare quest’ultime sottintendono, ad esempio, la possibilità per un utente di accedere o meno a un determinato database applicativo, vale a dire a uno dei tre Ambienti progettati per la struttura informativa dell’Agenzia.

Da un punto di vista tecnico, la creazione di un nuovo utente all’interno del database organizzativo, come deducibile dalla Figura 15, passa attraverso tre differiti step di definizione nei risulta obbligatorio il settaggio delle seguenti informazioni:

• Credenziali per l’accesso; • Ruolo Utente;

• Diritti Utente.

Per quanto concerne la prima voce ogni utente è identificato all’interno del sistema attraverso i seguenti parametri:

• Codice: informazione che identifica lo username con il quale effettuare l’accesso; • Descrizione: tipicamente riporta il nominativo completo dell’utente.

Figura 15 CCH Tagetik: interfaccia web per la configurazione di utenze.

All’interno del Budget Planning Tool sono state definite una pluralità di categorie utente, contrassegnate da specifiche voci di "Codice" e "Descrizione", a seconda del rispettivo impiego all’interno della Gerarchia Organizzativa e del ruolo all’interno del Processo di Pianificazione e Budgeting.

Il ruolo stabilisce formalmente la classe attività che un soggetto può svolgere all’interno del Processo di Pianificazione e Budgeting ed è definito da un insieme di funzioni od operazioni che un utente può compiere ed eseguire all’ interno del Budget Planning Tool.

Tipicamente le funzioni che differenziano ogni ruolo sono: • Gestione delle interfacce e delle tabelle di raccolta dati; • Reporting;

• Elaborazione dei dati.

La struttura informativa di UNC stabilisce al proprio interno la presenza delle seguenti tipologie di ruolo:

• Ruolo "Utente": categoria standard utilizzata per la creazione di tutti gli utenti che operano con il Budget Planning Tool, indipendentemente dalla Business Unit di appartenenza e la competente funzione;

• Ruolo "Amministratore": categoria utilizzata per identificare soggetti adibiti allo svolgimento di attività prettamente tecniche, quali ad esempio la creazione e la configurazione delle tabelle di Anagrafica. Generalmente la presente categoria è assegnata agli utenti facenti parte la Divisione IT dell’Agenzia.

• Ruolo "Tagetik": categoria utilizzata per definire utenti che conducono attività tecniche complesse comprendenti la definizione e la gestione di interfacce, report

informativi e strumenti per l’elaborazione di dati, che pertanto necessitano dell'accesso a più database.

Tipicamente vengono assegnati all’interno di questa categoria i consulenti esterni implementatori del sistema e determinati membri interni dello staff della divisione IT.

• Ruolo "ALL": categoria utilizzata per definire tutti i soggetti che godono di un pieno accesso a tutte le sezioni del Budget Planning Tool comprendente al proprio interno consulenti esterni implementatori del sistema di gestione e membri appartenenti al Quartier Generale.

Definite le classi di utenze, il sistema permette di stabilire per ognuna i diritti di accesso e le restrizioni sull’utilizzo dei dati mantenuti nei diversi database applicativi.

Per quanto concerne il Budget Planning Tool, gli utenti sono limitati secondo i seguenti gruppi restrittivi:

• Entità: l'utente può essere limitato nella modifica, sottomissione e approvazione di specifici dati appartenenti la rispettiva Entità di Business. Tutte le Entità alle quali l’accesso è consentito solamente in modalità di visualizzazione devono essere esplicitamente specificate per tale utenza.

• Workflow: l'utente può essere limitato nell’esecuzione di task appartenenti alle attività del workflow di processo. Calandosi maggiormente nel dettaglio, la restrizione può comprendere compiti di natura sia operativa, quali funzioni di inserimento dati, sia approvativa, in relazione alla specifica Entità di competenza. • Attività: l’utente risulta limitato nello svolgimento delle sole attività a lui competenti

e risultanti per il proprio mansionario, tra la totalità di attività che prendono parte all’interno dell’Entità

• Grado: l’utente è definito per uno specifico Ruolo all’interno di tutti quelli impostati nel Modello di Business dell’Agenzia;

• Modulo: l’utente può presentare una limitazione nel numero di moduli Excel che può visualizzare. In particolare vengono opportunamente definiti, per ogni profilo, solamente i prospetti informativi su cui gli è consentito operare, sia in modalità di scrittura che di visualizzazione.

In conclusione, la logica gerarchica sviluppata in ambiente software dall’Agenzia, grazie all’ausilio delle funzionalità del Budget Planning Tool, ha consentito all’organizzazione di inizializzare un primo strumento di controllo che garantisse maggiore sicurezza ed integrità dei propri dati.

Come facilmente intuibile, per poter strutturare un efficiente sistema di gestione della sicurezza delle informazioni all’interno dell’organizzazione non è sufficiente munirsi solamente di strumentazione software all’avanguardia. Di fatto la parte strutturale, per poter esprimere al meglio le proprie funzionalità, necessita dell’opportuno supporto da parte di tutti gli attori che prendono parte alle attività gestione dei dati. A tal proposito è ormai prassi consolidata, la definizione, lo sviluppo e il mantenimento, all’interno dei confini aziendali, di una cultura orientata all’integrità e alla trasparenza dei dati. La protezione passa pertanto e soprattutto dall’introduzione di appropriate attività di Educazione e Formazione del personale, nonché dalla formale definizione di una vera e propria politica sulla sicurezza che risulti allineata strategicamente agli obiettivi aziendali.