Sicurezza dell’audit o della revisione: de­fi­ni­zio­ne e si­gni­fi­ca­to per il cloud

Con­ser­va­re le in­for­ma­zio­ni in forma elet­tro­ni­ca è ormai all’ordine del giorno in molte aziende. La de­ma­te­ria­liz­za­zio­ne sta di­ven­tan­do sempre più popolare. Tuttavia, c’è molto da con­si­de­ra­re quando si tratta di ar­chi­via­zio­ne digitale: i documenti che devono essere con­ser­va­ti, per esempio, devono essere sempre me­mo­riz­za­ti nello spazio di ar­chi­via­zio­ne digitale in un modo conforme e ri­spet­tan­do i criteri di sicurezza. Vi sveliamo cosa s’intende per sicurezza dell’audit.

Nella sicurezza dell’audit è compresa l’ar­chi­via­zio­ne sicura delle in­for­ma­zio­ni in forma elet­tro­ni­ca, che viene anche chiamata ar­chi­via­zio­ne a prova di audit. In origine, questo controllo riguarda i dati che devono essere con­ser­va­ti nell’ambito del diritto com­mer­cia­le e fiscale, i cui sistemi di ar­chi­via­zio­ne devono sod­di­sfa­re diversi requisiti. La con­ser­va­zio­ne digitale a prova di audit tiene conto delle seguenti leggi e in­di­ca­zio­ni:

• DPR 26 ottobre 1972 n. 633 che di­sci­pli­na l’imposta sul valore aggiunto, ovvero l’IVA;
• Circolare 36/E dell’Agenzia delle Entrate del 6 dicembre 2006 relativa all’as­sol­vi­men­to degli obblighi fiscali dei documenti in­for­ma­ti­ci e la loro ri­pro­du­zio­ne su diversi supporti;
• Decreto le­gi­sla­ti­vo del 05/08/2015 n. 127 in merito alla fat­tu­ra­zio­ne elet­tro­ni­ca e a tutte le relative normative;
• ISO/IEC 27001:2013 ri­guar­dan­te la sicurezza vigente a livello in­ter­na­zio­na­le.

Sono infine da ri­spet­ta­re gli obblighi imposti dalla legge sulla con­ser­va­zio­ne dei documenti aziendali.

Ci sono dieci ca­rat­te­ri­sti­che che possono essere rilevate per la sicurezza della revisione:

1. Com­ple­tez­za: un documento deve essere ar­chi­via­to nella sua interezza.
2. Im­mo­di­fi­ca­bi­li­tà: tutti i documenti devono rimanere invariati e non devono essere mo­di­fi­ca­ti al momento dell’ar­chi­via­zio­ne.
3. Re­go­la­ri­tà: ogni documento deve essere con­ser­va­to nel rispetto dei criteri legali e or­ga­niz­za­ti­vi.
4. Re­cu­pe­ra­bi­li­tà: tutte le in­for­ma­zio­ni devono essere re­cu­pe­ra­bi­li, per esempio tramite in­di­ciz­za­zio­ne con metadati.
5. Uso solo da parte di persone au­to­riz­za­te: tutte le in­for­ma­zio­ni devono essere ar­chi­via­te in modo tale da poter essere vi­sua­liz­za­te solo da persone au­to­riz­za­te.
6. Pro­te­zio­ne contro la perdita: la sicurezza dei dati deve essere garantita in ogni momento.
7. Rispetto dei periodi di con­ser­va­zio­ne: un documento può essere can­cel­la­to dall’archivio solo quando è trascorso il periodo di con­ser­va­zio­ne ap­pli­ca­bi­le per legge.
8. Do­cu­men­ta­zio­ne: una do­cu­men­ta­zio­ne det­ta­glia­ta del processo di ar­chi­via­zio­ne è ob­bli­ga­to­ria, per esempio per per­met­te­re una mi­gra­zio­ne senza problemi dell’archivio.
9. Trac­cia­bi­li­tà: tutti i cam­bia­men­ti nell’archivio devono essere re­gi­stra­ti in modo che siano trac­cia­bi­li e che sia possibile il ri­pri­sti­no dello stato originale.
10. Ve­ri­fi­ca­bi­li­tà: un sistema di ar­chi­via­zio­ne a prova di audit deve essere ve­ri­fi­ca­bi­le da un terzo esperto in qualsiasi momento.

Un archivio digitale che soddisfa i suddetti requisiti di sicurezza dell’audit può dare i suoi frutti per diverse ragioni. Da un lato, un archivio a prova di audit aiuta a ot­ti­miz­za­re i processi aziendali: i mec­ca­ni­smi di ricerca adeguati e una migliore struttura delle in­for­ma­zio­ni as­si­cu­ra­no che i documenti de­si­de­ra­ti siano di­spo­ni­bi­li nel più breve tempo possibile, per esempio per poter ri­spon­de­re ancora più ve­lo­ce­men­te alle richieste dei clienti.

Dall’altro lato, questo processo aiuta a ridurre al minimo gli errori nella gestione di dati o documenti im­por­tan­ti a lungo termine. L’ar­chi­via­zio­ne elet­tro­ni­ca a prova di revisione assicura che non vi siano copie multiple di un documento o che nessuna in­for­ma­zio­ne sia can­cel­la­ta ac­ci­den­tal­men­te.

In generale, le aziende possono prevenire maggiori danni fi­nan­zia­ri e una possibile perdita di immagine a causa di documenti persi o accessi non au­to­riz­za­ti, im­ple­men­tan­do un sistema di ar­chi­via­zio­ne a prova di audit.

Im­po­stan­do e uti­liz­zan­do un sistema a prova di revisione per l’ar­chi­via­zio­ne digitale dei documenti è possibile gua­da­gnar­si la fiducia di clienti e partner. I cer­ti­fi­ca­ti che con­fer­ma­no la sicurezza dell’audit ga­ran­ti­sco­no l’af­fi­da­bi­li­tà dell’azienda e sono quindi richiesti non solo come un im­por­tan­te fattore di per­sua­sio­ne per nuovi clienti, partner e in­ve­sti­to­ri, ma anche come base per una coo­pe­ra­zio­ne a lungo termine.

Ti­pi­ca­men­te, l’audit e la cer­ti­fi­ca­zio­ne della sicurezza dell’audit dei sistemi di ar­chi­via­zio­ne elet­tro­ni­ca sono eseguiti da revisori sul posto.

I vantaggi del cloud computing hanno reso il lavoro nel cloud in­di­spen­sa­bi­le in molte aziende. Par­ti­co­lar­men­te popolare tra le PMI è la me­mo­riz­za­zio­ne e l’ar­chi­via­zio­ne di file e documenti in uno spazio di ar­chi­via­zio­ne cloud.

Simile al tema della pro­te­zio­ne dei dati, la sicurezza dell’audit è ponderata in modo ab­ba­stan­za diverso dai fornitori delle varie soluzioni di mercato. So­prat­tut­to si registra una diversa con­sa­pe­vo­lez­za dell’ar­chi­via­zio­ne delle in­for­ma­zio­ni conforme alla pro­te­zio­ne dei dati e a prova di audit a seconda che si tratti di fornitori europei o sta­tu­ni­ten­si. Per gli utenti è quindi im­por­tan­te che un servizio cloud osservi il GDPR, oltre a im­ple­men­ta­re tutte le misure previste dalle leggi nazionali.

Le ca­rat­te­ri­sti­che tipiche della sicurezza dell’audit si applicano anche a un cloud a prova di audit:

• L’im­mo­di­fi­ca­bi­li­tà delle in­for­ma­zio­ni me­mo­riz­za­te deve essere garantita. I fornitori possono rag­giun­ge­re questo obiettivo, tra le altre cose, at­tra­ver­so la cro­no­lo­gia au­to­ma­ti­ca delle versioni di tutti i dati del cloud.
• La trac­cia­bi­li­tà della sicurezza della revisione può essere rea­liz­za­ta nel cloud at­tra­ver­so un registro di attività protetto che registra tutti i tra­sfe­ri­men­ti di file e i processi di modifica e can­cel­la­zio­ne.
• Anche la pro­te­zio­ne contro la perdita di file è un punto im­por­tan­te. I fornitori di cloud pro­met­to­no un alto livello di sicurezza dei dati e fanno per esempio af­fi­da­men­to su hardware geo­ri­don­dan­ti, crit­to­gra­fia e potenti software di sicurezza. Per l’ar­chi­via­zio­ne a prova di audit, si dovrebbe ricorrere anche a un’ulteriore soluzione di backup.
• Le funzioni di ricerca integrate as­si­cu­ra­no che il cloud storage soddisfi anche il fattore di “re­cu­pe­ra­bi­li­tà”.
• Il requisito di prevenire l’accesso non au­to­riz­za­to può essere sod­di­sfat­to anche dal cloud storage at­tra­ver­so un’ap­pro­pria­ta gestione degli accessi. Sulla base di tale strumento di gestione, i re­spon­sa­bi­li possono creare e assegnare ruoli utente in modo che ogni utente del cloud possa vi­sua­liz­za­re, aprire e mo­di­fi­ca­re solo ciò che cor­ri­spon­de al suo stato nell’azienda.