Nell’affrontare le tematiche di cyber security e di sicurezza dei dati si fa spesso l’errore di concentrarsi solo sulle infrastrutture digitali dimenticandosi di considerare il fattore umano. Un buon livello di sicurezza richiede tecnologie aggiornate, ma anche una gestione senza imprevisti e utenti che non si facciano abbindolare dalle e-mail di phishing o dalle richieste di password via e-mail inviate dall’indirizzo contraffatto di un collega.
Parliamo dell’ingegneria sociale con cui i cyber criminali sfruttano l’ingenuità del prossimo per attentare alla sicurezza delle informazioni, ingannando le persone con link truccati da sconti e premi oppure inviando e-mail personalizzate, rese credibili attraverso i dati pubblicati sui social. La sicurezza delle informazioni risente inoltre degli errori causati dalla fretta o dall’imperizia degli amministratori e che possono comportare l’inaccessibilità dei dati o peggio cancellazioni.
Per i dati importanti che devono essere protetti da alterazioni e conservati in modo sicuro per molti mesi o anni sono oggi disponibili servizi specializzati di archiviazione in cloud in grado di garantire anche l’accesso sicuro H24. Servizi su cui riversare i documenti con valore legale, amministrativo o di controllo con la certezza di potervi accedere facilmente quando occorra e di cui vediamo di seguito di conoscere meglio caratteristiche e prerogative d’uso.
Indice degli argomenti
Una banca dei documenti per garantire sicurezza dei dati e cyber security
Strumento chiave a supporto delle nuove infrastrutture digitali, il cloud è oggi utilizzabile per lo storage dei dati e in particolare per garantire la sicurezza dei documenti che non possono essere smarriti o non essere facilmente accessibili. “Una sorta di banca per i documenti digitali – spiega Luciano Quartarone, CISO e Data Protection Officer di Archiva Group, società da 25 anni nel settore della conservazione dei dati – che sfrutta il cloud così come, nel passato, si usavano i microfilm per conservare i documenti su carta”.
Una banca digitale a cui affidare documenti digitali per periodi di mesi, oppure anche di decenni conservando le capacità di ricerca e d’accesso come raramente è possibile su nastri, dischi ottici o altre forme di archiviazione a lungo termine comunemente utilizzate. “Un posto sicuro dove centralizzare tutti gli archivi di valore per l’azienda, facendo confluire anche i documenti cartacei significativi, attraverso l’impiego dei servizi di digitalizzazione”.
Un modo per unificare, proteggere e accedere ai dati archiviati in qualsiasi momento, anche senza passare dai sistemi aziendali attraverso piattaforme Web di consultazione, accessibili da remoto. “Strumenti che non consentono di alterare o modificare i dati archiviati, ma solo di accedervi da parte degli utenti autorizzati, secondo gli specifici profili definiti dalle aziende utilizzatrici”. Una tutela anche sotto il profilo di errori umani e attacchi alla cyber security.
La preparazione dei documenti per la conservazione
Chi offre servizi di conservazione digitale deve rispondere ad alcune fondamentali esigenze, a cominciare dall’inalterabilità dei documenti acquisiti per la conservazione, cosa non banale quando in gioco ci sono i file prodotti dalle comuni applicazioni d’ufficio. “Non è possibile, per esempio, archiviare i documenti contenenti macro che all’apertura aggiornano date o altre informazioni contenute – spiega Quartarone -. Tra i compiti dell’acquisizione c’è quindi l’eliminazione degli automatismi e la ricodifica nei formati più adatti alla conservazione”.
Conservare nel lungo termine richiede la prevenzione dall’obsolescenza dei formati digitali, che oltre a quelli classici per documenti testuali, come DOC e PDF, possono comprendere registrazioni audio-video da telecamere di videosorveglianza, riunioni in CDA e simili. Per garantire l’accesso ai documenti archiviati nell’immediato così come dopo un anno o decenni fino al termine del rapporto contrattuale è necessario ricodificare i file nei formati standard meglio documentati e riconosciuti.
“Anche se non ci sono degli specifici obblighi sui formati di conservazione per le aziende private, per quelle pubbliche vige un elenco gestito dall’AgID. Formati che è importante utilizzare perché, a differenza di quelli nativi e proprietari delle applicazioni, potranno essere letti anche dai software di cui disporremo tra decenni”.
Proteggere i documenti combattendo l’obsolescenza dei supporti
La conservazione riguarda generalmente le documentazioni di brevetto, fatture, fascicoli su dipendenti. “Tra i 70 milioni di record che ci hanno affidato i nostri 1500 clienti vediamo la presenza di molti documenti di tipo amministrativo, fatture, informazioni tributarie e legali – spiega Quartarone – documenti di cui, come provider, ci impegniamo garantire la conservazione nel tempo, in riservatezza e la disponibilità, sia con accessi locali sia remoti”.
Un problema è l’obsolescenza dei supporti. “I supporti su cui sono memorizzati i dati digitali si usurano e invecchiano nel tempo – spiega Quartarone – anche quando non ne abbiamo percezione perché stiamo utilizzando un servizio in cloud”. Dietro alle macchine e agli storage virtuali ci sono infatti dei sistemi fisici che hanno uno specifico ciclo di vita. “Il provider dei servizi di conservazione deve quindi prendersi l’onere di riversare i dati dai sistemi vecchi a quelli nuovi, man mano che i primi diventano obsoleti, diventano inaffidabili e vanno sostituiti”.
La capacità di trasferire e rimettere al sicuro i documenti su nuove infrastrutture ha anche un risvolto fisico nel caso nella conservazione sia coinvolta anche la gestione degli originali cartacei. “In alcune applicazioni, per esempio per la conservazione degli atti notarili, gli originali non possono per legge essere sostituiti dalla loro copia digitalizzata. Gli originali non possono essere distrutti e smaterializzati, ma devono essere archiviati anche in modo tradizionale”.
La sicurezza delle informazioni sul fronte della cyber security
L’accesso protetto ai documenti ha subito evoluzioni negli ultimi anni. “Inizialmente abbiamo usato le VPN, ossia protezioni basate sulla creazione di canali di connessione protetti tra noi e i clienti. Protezioni che ora stiamo rimpiazzando a favore di tecnologie più scalabili, come Citrix VDI, che ci consentono un migliore controllo sugli utenti e sui dispositivi che vengono usati per l’accesso. Usiamo un sistema di autorizzazioni che si integra con gli strumenti di ID management dell’azienda che fruisce del servizio, risolvendo le richieste sul portale d’accesso”.
L’integrazione a livello delle autorizzazioni evita che sul sito del provider restino gli accessi a persone che hanno lasciato l’azienda oppure che sono passate ad altro incarico, “Non serve più rivalidare periodicamente le utenze ogni 3-6 mesi come accadeva nel passato, una pratica che lasciava aperte delle finestre temporali pericolose per la cyber security”. Per la sicurezza delle consultazioni viene infine usato SSL, “anche se purtroppo questa protezione ha limiti nelle realtà che sono più arretrate in tema di adeguamento dei sistemi e che ancora usano dei browser che non supportano i protocolli più recenti”.
Sul fronte interno, un provider di servizi di conservazione in cloud deve poter garantire l’assoluta sicurezza dei propri sistemi. “Nell’ultimo anno e mezzo ci siamo dotati di un SOC (Security Operation Center) gestito da una società esterna specializzata che garantisce presidio H24. Assieme al NOC (Nework Operation Center) ci aiutano a rilevare tempestivamente comportamenti anomali dei server, gestire le prestazioni e le protezioni nei confronti, per esempio, degli attacchi DDOS (Distributed Denial of Service). L’eventualità più comune nel campo della cybersecurity è ricevere dai clienti dei documenti contenenti virus o malware. Situazioni che non ci danno il diritto di cancellare i file per la conservazione, ma che rileviamo e notifichiamo al cliente”.
Contributo editoriale sviluppato in collaborazione con Archiva
