Mag jij ook meer gegevens zien dan nodig?
Datalekken komen steeds vaker in het nieuws. Privégegevens van klanten komen zo in handen van derden, er is risico op reputatieschade, maar organisaties kunnen ook gechanteerd worden met de gelekte gegevens. Kortom: dit wil je natuurlijk het liefst voorkomen.
Je hebt waarschijnlijk als eerste de neiging om de buitendeur te barricaderen. Belangrijk, maar vergeet ook je medewerkers niet. Het is essentieel dat zij alleen de data kunnen zien die voor hun noodzakelijk is. Soms lijkt het voor de hand liggend welke gegevens gedeeld kunnen worden of de organisatie denkt: ‘het kan toch géén kwaad als we dit delen’. Maar wees hier toch voorzichtig mee. Door data te combineren kan er toch meer uit af te leiden zijn dan je denkt. Mijn advies: stel niet meer bedrijfsdata aan iemand beschikbaar dan noodzakelijk is voor het uitvoeren van de functie van de medewerker.
Data beschermen in SAP BusinessObjects
Er zijn natuurlijk veel plaatsen waar gegevens in de organisatie worden opgeslagen. Van de traditionele archiefkast tot de externe gegevens opslag in de cloud. Al deze gegevens verdienen aandacht en moeten uiteraard goed beschermd worden. In dit artikel richt ik me specifiek op de gegevens die je ontsluit met de zogenaamde Business Intelligence tools. Ik zal als voorbeeld tool SAP BusinessObjects gebruiken.
Gegevensdomeinen
Een domein is een verzameling van overeenkomstige gegevens. Denk bijvoorbeeld aan inkoopgegevens of personeelsgegevens. De indeling van deze domeinen komt vaak overeen met de organisatiestructuur van de onderneming. Door per domein gegevens beschikbaar te stellen aan de medewerkers maken we een eerste schifting in wie wat mag zien. Dit kunnen uiteraard ook meerdere domeinen voor een medewerker zijn.
Om dit te realiseren kan je in SAP BusinessObjects voor elk domein een universe maken. Dit is een grofmazig systeem. In een organisatie met meerdere bedrijven/afdelingen kun je dan binnen een domein alles zien. De toegang is functioneel geregeld. De inkoper ziet bijvoorbeeld geen salarisgegevens, maar wel gegevens over de inkoop en verkoop.
Row level security
We hebben door het invoeren van de domeinen een grove kam door de data gehaald. Voor veel organisaties is dit onvoldoende. Deze organisaties hebben meerdere bedrijfsonderdelen die toegang hebben tot hetzelfde domein. Deze bedrijfsonderdelen mogen alleen hun eigen gegevens zien. We noemen dit ‘row level security’.
Aan de informatievraag voegt de rapportagetool automatisch een extra selectie toe. Deze selectie is afhankelijk van de persoon die de informatie vraagt. In SAP BusinessObjects werkt dit als volgt.
Voor elke tabel waar je een restrictie op wilt zetten, creëer je een ‘data security profile’. Deze profielen maak je per universe/domein aan. Vervolgens maak je per tabel de profielen aan. In het voorbeeld wil je dat alleen voor winkel 3 gegevens geselecteerd worden. Aan dit profiel koppel je dan de gebruikers die alleen winkel 3 data mogen zien.
Maskeren van data
Met de row level security hebben we een eerste filter op de data gezet. We kunnen dit verder verfijnen door data te maskeren. We hebben in de onze data namelijk ook persoonsgegevens staan. Deze persoonsgegevens mogen niet door iedereen gebruikt worden. De HR afdeling mag bijvoorbeeld het BSN nummer zien, maar de rest van het bedrijf niet.
We zouden in dit geval twee universes kunnen maken. Één voor HR en een voor de rest. Dit is echter dubbel werk. We willen liever dat wanneer de HR afdeling het BSN nummer selecteert, dat het rapport deze toont en in elk ander geval dat de inhoud van het BSN nummer leeg blijft. We kunnen dit doen door het BSN nummer te maskeren.
We maken een persoonstabel waarbij de kolom met het BSN nummer leeg is. Deze tabel is voor iedereen behalve voor de HR afdeling. Dit mag zowel een fysieke tabel als een view (virtuele tabel) zijn. In SAP BusinessObjects stellen we in dat voor HR de originele tabel gebruikt wordt en voor de rest de view. Hiervoor gebruiken ook weer een ‘data security profile’.
Bescherm je data
Door het toepassen van de domeinen, row level security en het maskeren zorgen we ervoor dat er medewerkers alleen de data te zien krijgen die voor hun bestemd is. Heb je hier nog vragen over of kun je hulp gebruiken bij de inrichting? Neem dan contact met ons op via onderstaande button.
Piet van Oosterom
Mijn passie is om relaties te laten ontdekken wat de waarde is van hun gegevens en deze geschikt te maken voor data-gestuurde besluitvorming.