L’emergenza coronavirus ha portato nuova consapevolezza sulla necessità di garantire la sicurezza nella gestione dei documenti digitali delle aziende. Il ricorso allo smart working e, in generale, la forzata digitalizzazione delle operazioni in seguito al lockdown hanno avuto come conseguenza l’urgenza di implementare misure idonee a evitare rischi, per assicurare la continua erogazione dei servizi e l’operatività aziendale.
Microdata, partner nella gestione dei documenti digitali di numerose realtà economiche, ha affrontato la sfida con preparazione: la security da sempre è un asse portante delle attività aziendali, ben prima che la situazione richiedesse il ricorso a questi strumenti.
Approfondiamo quali sono gli asset per la sicurezza sviluppati nel tempo, un parametro utile per capire il livello di affidabilità dei servizi proposti.
L’attenzione alla sicurezza e l’approccio risk based di Microdata nella gestione delle operations
La sicurezza è uno dei pilastri su cui è stata fondata Microdata, un aspetto sempre considerato con molta attenzione, anche quando non era così diffusa la consapevolezza sulla sua utilità. Microdata è nata con lo scopo di dare certezze ai propri clienti, che possono quindi affidare i loro documenti con serenità. Perciò il primo obiettivo è sempre stato quello di garantire la cyber security di documenti e dati. Un approccio che ha portato da subito a scegliere di gestire internamente, con team aziendali, i data center: nel Duemila, Microdata è stata tra le prime realtà a optare per questa scelta.
Tutti i clienti hanno garantita la business continuity dal 2018. Un’attenzione che quindi c’era già prima che gli eventi dell’emergenza sanitaria portassero in auge la tematica.
In generale, negli ultimi anni la consapevolezza sul tema della cyber security è aumentata. In particolare, la visione della sicurezza è cambiata molto dall’autunno del 2019, quando è stata attuata una campagna di attacchi enorme senza precedente, avviata soprattutto usando mezzi come la PEC – Posta elettronica certificata, che si riteneva essere sicurissima.
L’episodio ha permesso di constatare ancora una volta che, in ambito sicurezza, non ci sono mai certezze assolute. Microdata ha puntato sul potenziamento di attività di prevenzione degli attacchi, per essere in grado di gestire al meglio eventuali problemi, evitando ripercussioni sui clienti.
Questo aspetto centrale è stato sviluppato in un approccio risk based, che abbraccia totalmente la gestione dei documenti digitali e le operation. L’organizzazione interna di Microdata si basa innanzitutto sulla sicurezza fisica dei dispositivi.
I Data Center di Microdata hanno elevati standard di sicurezza, accessi monitorati e sicurezze strutturali, come antincendio, antiallagamento e controllo sulla linea elettrica. Ogni macchina inserita segue determinate policy di sicurezza e i server sono separati sulle reti sia a livello fisico che virtuale.
Sicurezza dei documenti digitali
Con la crescente digitalizzazione aziendale, insieme a nuove opportunità si presentano per le aziende nuovi rischi e nuove problematiche, come quella relativa alla sicurezza dei documenti digitali. Cresce la consapevolezza della necessità di nuovi approcci e nuovi strumenti per garantire la protezione dei dati (sensibili e non), la loro accessibilità solo ad alcune persone, la riservatezza, la loro integrità nel tempo, la compliance alle normative relative alla gestione documentale e alla conservazione dei documenti informatici.
Gli asset per la sicurezza nella gestione dei documenti digitali
Relativamente alla gestione dei documenti digitali e delle operations, il rischio principale è dato dagli operatori. Gli errori umani purtroppo sono imprevedibili, si pensi al classico caso delle e-mail phishing aperte da dipendenti aziendali che danno il via ad attacchi cyber senza rendersene conto.
Microdata ha preso in esame questo e altri problemi di sicurezza, arrivando a disporre di asset che garantiscono sicurezza alle proprie reti e, di conseguenza, ai documenti dei clienti. Questi sono:
- DLP (Data Loss Prevention): è stato installato un agent su ogni computer di Microdata a cui vengono applicate determinate policy. Ogni reparto può accedere a determinati documenti; se questi vengono condivisi in posizioni ritenute non accettabili dalle policy, l’azienda viene avvisata.
- Adozione di un antivirus a livello enterprise costantemente aggiornato, non gestito da esterni o in cloud ma internamente.
- Formazione a tutti gli operatori: Microdata quest’anno ha destinato oltre 1.500 ore di formazione dedicate alla cyber security, che hanno portato grandi risultati. Ora Microdata infatti può contare anche sul monitoraggio fatto direttamente dagli operatori aziendali, che hanno preso coscienza dei potenziali rischi.
- Implementazione del SOC: Microdata ha avviato il monitoraggio a livello enterprise 24h/7 su tutte le reti aziendali. Sono state inserite sonde nelle reti Microdata e un fornitore esterno supporta nel monitoraggio costante, avvisando nel caso sorgano cambiamenti nella rete. Qualsiasi tentativo di download da link malevoli viene captato e Microdata viene avvisata entro tre minuti.
- Dal 2019 è stata adottata una sandbox: qualsiasi e-mail (e il suo contenuto) viene analizzata.
- Sono svolti penetration test semestrali o annuali. In questo caso vengono analizzate le criticità a livello di sicurezza simulando dei veri e propri attacchi. Nel caso si riscontrino delle vulnerabilità, entro due settimane vengono risolte.
Da sottolineare anche l’attenzione alla privacy. Nella gestione dei documenti digitali e delle operation, Microdata segue la normativa europea rappresentata dal GDPR oltre alle richieste dei clienti. Dall’anno scorso è iniziato un progetto di encription che prevede due livelli:
- azioni svolte direttamente sul file: i documenti più sensibili vengono criptati singolarmente e non possono essere aperti nemmeno sul server.
- encription del server: il documento può essere aperto, ma il server è criptato. Nel caso per esempio venisse sottratto un disco dalla sala CED, non sarebbe comunque possibile aprirlo e visionare i documenti.
Gestione documentale: la normativa
Le normative italiane in materia di gestione documentale digitale sono state emanate a partire dal 2012, con la costituzione dell’Agenda Digitale Italiana. Tra gli obiettivi, la semplificazione dei rapporti con la pubblica amministrazione e lo snellimento delle comunicazioni tra le organizzazioni sul territorio.
Prima di tutto sono state fissate le caratteristiche e i requisiti di base del documento elettronico, e poi introdotte tecnologie e protocolli a supporto della digitalizzazione, quali Posta Elettronica Certificata, procedure di autenticazione e firma, fatturazione elettronica, conservazione digitale.
Conservazione documenti informatici
Proprio a proposito di conservazione, particolare attenzione deve essere posta nei confronti delle attività volte a proteggere e custodire nel tempo gli archivi di documenti e dati informatici. I sistemi di conservazione adottati dalle aziende, come previsto dall’art.44 del CAD, devono poter garantire autenticità, integrità, affidabilità, leggibilità e reperibilità dei documenti informatici. Diversi servizi di Microdata Group sono pensati per assicurare la corretta conservazione dei documenti, insieme alla loro consultazione anche per via telematica.
Un progetto in continua evoluzione
Appare evidente come l’attenzione posta da Microdata negli ultimi vent’anni al tema della sicurezza non sia un progetto a termine, ma un approccio continuo nel tempo che avrà ulteriori sviluppi futuri. Per sua stessa natura la cyber security è in costante evoluzione e dev’essere una priorità: come fatto fino ad ora, Microdata continuerà a investire in sicurezza e innovazione. Per questo è stato fondamentale provvedere alla formazione degli operatori e all’implementazione di strumenti come il SOC e la sandbox.
Ma non solo. È il mercato stesso a essere è sempre più consapevole e più sensibile alla tematica della cyber security. Per questo i clienti richiedono audit in azienda per verificare, anche con società esterne, l’effettivo stato della “maturità” dell’organizzazione rispetto alla security.
Recentemente anche Microdata è stata sottoposta all’audit di un importante cliente internazionale, che ha avuto un esito più che positivo: è stato apprezzato, oltre la tecnologia, anche il forte commitment del top management.
Risulta quindi evidente che la sicurezza è una questione di cultura aziendale e, secondo la filosofia di Microdata, deve permeare ogni livello dell’impresa.