Una società che propone servizi di conservazione a norma (conservatore) deve poter garantire nei confronti dei documenti e dati oggetto di conservazione autenticità, integrità, affidabilità, leggibilità e reperibilità.
La sicurezza informatica gioca un ruolo fondamentale: vediamo come viene gestita all’interno delle organizzazioni dei conservatori e quali sono i relativi impatti.
Sicurezza dei sistemi di conservazione, come fare
Quando si parla di sicurezza informatica intendiamo riferirci a: «L’insieme di prodotti, servizi, regole organizzative e comportamenti individuali che proteggono i sistemi informatici di un’organizzazione (o di un utente)», per cui anche nell’ambito dei sistemi utilizzati per la conservazione a norma ci riferiamo sempre a strumenti tecnologici e organizzativi a difesa dei documenti e dei dati oggetto di conservazione, tutelando così il valore dell’informazione.
La gestione e la conduzione di un sistema di conservazione seguono le procedure definite attraverso l’implementazione di un sistema di gestione delineato da standard di sicurezza internazionali di riferimento, come ad esempio l’ISO/IEC 27001. Gli obiettivi di un sistema di gestione della sicurezza delle informazioni sono:
- Garantire la riservatezza, integrità e disponibilità delle informazioni in tutte le fasi di gestione del sistema e conservazione dei documenti;
- Garantire l’affidabilità del sistema di conservazione in termini di sicurezza nella gestione dei dati trattati e in termini di manutenzione del sistema in modo da perseguire l’evoluzione sia in modo preventivo che correttivo che evolutivo, in base all’evoluzione normativa e delle necessità dei clienti;
- Garantire l’allineamento ai livelli di servizio definiti per il servizio di conservazione nei confronti di ogni cliente servito;
- Dare continuità operativa ai servizi critici anche a seguito di gravi incidenti potenzialmente capaci di compromettere la sopravvivenza del sistema stesso.
I requisiti di sicurezza (sicurezza fisica, sicurezza logica e sicurezza organizzativa) adottati nella conduzione e manutenzione del sistema di conservazione, nelle politiche di gestione delle richieste, delle problematiche (“Incident management”) e della continuità operativa (“Business continuity”) del servizio di conservazione sono specificati con dettaglio nel piano della sicurezza che ogni conservatore si è dotato.
Il marketplace AGID sui servizi SaaS
Il Software as a Service (SaaS) è un modello di distribuzione del software basato su cloud in cui il provider di servizi sviluppa e mantiene il software applicativo, fornisce aggiornamenti software automatici e mette il software a disposizione dei propri clienti via Internet basato sul modello pay-as-you-go.
I servizi SaaS del marketplace AGID riguardano applicativi software compatibili con il Cloud della PA: rientrano fra questi servizi anche quelli relativi alla conservazione a norma dei documenti.
AGID (Agenzia per l’Italia Digitale), ha classificato i requisiti per la qualificazione delle soluzioni SaaS come segue:
● Requisiti organizzativi (RO),
● Requisiti specifici.
I requisiti specifici vengono ulteriormente raggruppati in:
● sicurezza (RS),
● performance e scalabilità (RPS),
● interoperabilità e portabilità (RIP),
● conformità legislativa (RCL).
Per quanto riguarda specificatamente la sicurezza il conservatore SaaS, prima della messa in esercizio del servizio in modalità Saas, deve garantire che il codice applicativo sia stato sviluppato seguendo i principi dello sviluppo sicuro. Il Fornitore deve dichiarare se il software viene sottoposto a periodiche verifiche di sicurezza, in particolare a seguito di operazioni di manutenzione del servizio (aggiornamenti e modifiche).
Il conservatore SaaS deve dotarsi di una adeguata organizzazione e di procedure operative in grado di gestire attività continue e documentabili di aggiornamenti e migliorie in tema di sicurezza. Deve inoltre gestire tempestivamente eventuali situazioni emergenziali.
Il conservatore SaaS deve garantire che il verificarsi di incidenti di sicurezza oppure gravi disfunzioni del servizio (ad esempio nel caso di denial of service) siano prontamente rilevati e gestiti.
Requisiti di sicurezza: tutti i dettagli
Di seguito è riportato il dettaglio dei requisiti di sicurezza:
- RS1 – Il Fornitore SaaS dichiara se le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP (Open Web Application Security Project) con esito positivo.
- RS2 – Il Fornitore SaaS dichiara di essere in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 (linee guida per la sicurezza delle informazioni negli ambienti cloud) e ISO/IEC 27018 (linee guida per la protezione della privacy negli ambienti cloud). La certificazione deve essere stata rilasciata da organismi nazionali di accreditamento riconosciuti
Le norme ISO/IEC 27001
L’obiettivo fondamentale della ISO/IEC 27001 è proteggere questi tre aspetti delle informazioni:
- Riservatezza: solo le persone autorizzate hanno il diritto ad accedere alle informazioni.
- Integrità: solo le persone autorizzate possono modificare le informazioni.
- Disponibilità: le informazioni devono essere accessibili alle persone autorizzate ogni volta che è necessario.
Questo viene fatto scoprendo quali potenziali problemi relativi alle informazioni potrebbero verificarsi (ad esempio, con la valutazione del rischio), e quindi definendo ciò che è necessario fare per evitare che si verifichino tali problemi (ad esempio, con la mitigazione del rischio o il trattamento del rischio).
Pertanto, la filosofia principale della ISO/IEC 27001 si basa su un processo di gestione dei rischi: scoprire dove si trovano i rischi e quindi trattarli sistematicamente, attraverso l’implementazione di controlli di sicurezza (o protezioni).
I vantaggi per le aziende
Ci sono quattro vantaggi aziendali essenziali che un’azienda può ottenere con l’implementazione di questa norma per la sicurezza delle informazioni:
- Rispettare i requisiti di legge – esiste un numero sempre crescente di leggi, regolamenti e requisiti contrattuali relativi alla sicurezza delle informazioni e la buona notizia è che la maggior parte di essi può essere risolta implementando la ISO/IEC 27001 – questa norma offre la metodologia perfetta per rispettarli tutti.
- Ottenere un vantaggio sulla concorrenza – se la tua azienda ottiene la certificazione e i tuoi concorrenti no, potresti avere un vantaggio su di loro agli occhi di quei clienti che sono sensibili per quanto riguarda il mantenere le loro informazioni al sicuro.
- Costi inferiori – la filosofia principale della ISO/IEC 27001 è prevenire il verificarsi di incidenti relativi alla sicurezza – e ogni incidente, grande o piccolo che sia, costa denaro. Pertanto, prevenendoli, la tua azienda risparmierà parecchi soldi. E la cosa migliore è che l’investimento nella ISO/IEC 27001 è molto inferiore ai risparmi sui costi che otterrai.
- Una migliore organizzazione – in genere, le aziende in rapida crescita non hanno il tempo di fermarsi a definire i propri processi e le proprie procedure, di conseguenza, molto spesso i dipendenti non sanno cosa debba essere fatto, quando e da chi. L’implementazione della ISO/IEC 27001 aiuta a risolvere tali situazioni, perché incoraggia le aziende ad annotare i propri processi principali (anche quelli non legati alla sicurezza), consentendo loro di ridurre il tempo perso dai propri dipendenti.
Impatti operativi per i conservatori
Sulla base di quanto detto nei precedenti paragrafi si sottolinea quanto gli standard aiutino i conservatori a dotarsi di regole attuative per mantenere i livelli di servizio concordati con i Clienti; di seguito un esempio di elenco di attività implementate all’interno di un conservatore
- Piano degli audit interni al sistema
- Piano di manutenzione delle infrastrutture
- Disaster recovery
- Backup
- Procedure di monitoraggio
- Gestione dei log
- Politica di gestione della sicurezza dei sistemi
- Penetration test e vulnerability assessment
- Politica per il controllo degli accessi fisici
- Politica per l’inserimento dell’utenza per il controllo degli accessi logici
- Politica di gestione delle postazioni di lavoro
- Politica di gestione dei contenuti applicativi
- Politica di gestione dei canali di comunicazione
- Manutenzione delle politiche di sicurezza
- Gestione degli incidenti
Queste procedure vengono attuate al fine di preservare la sicurezza informatica dei sistemi e organizzazioni preposte a fornire servizi di conservazione.
Sviluppi nello scenario europeo e italiano della conservazione
I conservatori italiani, grazie all’applicazione di standard e norme, hanno maturato nel tempo una consapevolezza e un’esperienza di quasi 30 anni che oggi rischia di essere vanificata. E’ un’esperienza importante, che dobbiamo riuscire ad armonizzare con la nuova normativa europea EIDAS-2, superando un vincolo penalizzante: le nuove norme, infatti, prevederebbero di equiparare la conservazione ad un servizio fiduciario qualificato. Questo per il diritto italiano avrebbe un’implicazione carica di conseguenze: chi erogherà servizi di conservazione si troverà nella situazione di dover aumentare il proprio capitale sociale come avviene per un istituto di credito. Una condizione difficilmente applicabile per le imprese fornitrici di dimensioni medio piccole.
Per questa ragione Assoconservatori Assintel sta lavorando con gli attori istituzionali affinché la nostra normativa possa garantire anche il lavoro delle PMI che attualmente erogano servizi di conservazione a norma, che rappresentano un grande patrimonio di know how e imprenditorialità del Made in Italy digitale.
