Garantire alle informazioni aziendali una protezione ai massimi livelli senza ingessare la User Experience (e quindi senza rallentare i processi approvativi) è possibile. Bisogna però in qualche modo stravolgere il concetto di condivisione documentale, ribaltando le logiche di molti dei sistemi di document management che vanno attualmente per la maggiore.
Alla base di un compromesso sempre più vitale per le imprese, compresse tra spinta alla digitalizzazione e cyber minacce in continuo aumento, c’è la tecnologia Cloud che, opportunamente declinata sul piano della gestione documentale, riesce a rispondere in modo efficace a due specifiche esigenze. La prima è quella di tutelare il patrimonio informativo aziendale. Può sembrare una constatazione piuttosto banale, ma non lo è affatto, se si considera che la parola tutela, oggi, può esprimere diversi concetti, a seconda dei punti di vista che si adottano: legali, culturali o informatici. Esistono diverse soluzioni che, su vari livelli, possono mettere in sicurezza i documenti di una società affrontando ciascuna dimensione. Ma per l’appunto risultano spesso limitanti rispetto all’esperienza d’uso, che negli ambienti collaborativi deve essere agile.
La seconda esigenza, d’altra parte, è proprio quella di condividere il patrimonio informativo con supplier, stakeholder e consulenti esterni, verticalizzando la distribuzione dei documenti nei vari processi e casi d’uso previsti dai modelli di business adottati. Sempre più frequentemente, in altre parole, le organizzazioni hanno a che fare con documenti digitalizzati che per propria natura o per necessità lavorative non possono e non devono più rimanere confinati nei server aziendali. Il che, è quasi superfluo sottolinearlo, allarga la superficie dell’impresa esposta a potenzialità criticità sui fronti della Data Protection, della Cyber Security e della compliance normativa.
L’approccio di Multipartner alla sicurezza dei documenti
«La nostra soluzione permette di indirizzare e soddisfare entrambe le esigenze: incorporando la sicurezza come concetto intrinseco dell’esperienza d’uso, la piattaforma di virtual data room esternalizza i dati su un ambiente di condivisione documentale protetto in cloud privato, sul quale si innesta un substrato di protezione informatica di livello avanzato e un sistema di controllo e mappatura degli accessi e degli eventi».
A parlare è Luca D’Alessandro, Software Engineer – R&D Team Leader di Multipartner, società specializzata nella progettazione e nella realizzazione di soluzioni di data & document management avanzate, tra cui Virtual Data Room, Workspace Data Room e Workflow. «La soluzione in questione si chiama Enigma, e capovolge i meccanismi con cui molte imprese, oggi, consentono ai vari attori dei processi di business di accedere alle proprie informazioni: dal documento che viene trasmesso da utente a utente fino a quando non si è concluso il ciclo approvativo o il lavoro di redazione, si passa infatti a un sistema di accesso che identifica gli utenti a seconda dei loro privilegi, assegnando un determinato margine di interazione con i dati e monitorando qualsiasi azione compiuta all’interno della piattaforma».
Who's Who
Luca D'Alessandro
Software Engineer e responsabile del team R&S di Multipartner
A questo si aggiungono due sistemi di crittografia dei dati, uno con cifratura simmetrica, l’altro con cifratura asimmetrica, che lavorano due su livelli differenti: il primo agisce sui file attivando una cifratura forte, il secondo protegge la trasmissione delle chiavi di cifratura dei file al momento delle richieste di accesso in lettura o scrittura.
Il sistema garantisce prestazioni e sicurezza: il documento originale subisce un processo di normalizzazione che genera una variante fruibile dello stesso mediante gli strumenti nativi della piattaforma (Viewer, download link, etc… ). L’originale quindi rimane integro e disponibile solo a specifiche condizioni e da determinati profili.
«Disaccoppiando diritti di accesso e di decrittazione ai file attraverso Enigma, l’owner dei dati gestisce CHI e COME può accedere, ad un livello del tutto indipendente dalle profilazioni già presenti nella nostra virtual data room. Inoltre, tutte le attività svolte su piattaforma e su Enigma sono tracciate e possono essere monitorate, in qualsiasi momento e autonomamente dal Data Owner attraverso gli strumenti di reportistica integrati a disposizione».
Un approccio del genere non copre solo esigenze di sicurezza informatica, ma genera un impatto importante anche sul piano probatorio dei documenti presenti sulla piattaforma. Dalle iniziative di board communication alla reportistica sulle funzioni societarie e sulle vendite di asset immobiliari, passando per i contratti e i non disclosure agreement, tutto ciò che viene conservato all’interno di Enigma, comprese le PEC, ha valore legale opponibile a terzi.
«Multipartner infatti è proprietaria dell’infrastruttura e dei server situati in data center italiani e dotati di tutte le certificazioni richieste dal Piano strategico nazionale del Cloud nazionale per la PA, con i requisiti necessari a trattare dati classificati come di natura critica e strategica», nota Misale.
Who's Who
Giuseppe Misale
Commercial & Marketing director di Multipartner
Il funzionamento di Enigma: l’owner ha il controllo totale
Ma praticamente come funziona il sistema?
D’Alessandro spiega «Ci sono due fasi ben distinte: la prima fase di registrazione dell’utente in cui viene creata la coppia di chiavi, una pubblica/ privata che sarà utilizzata per lo scambio di chiavi di cifratura dei documenti con il KeyMaster ; la seconda fase è invece, la profilazione dell’utente che, gestita dal Data Room Manager della piattaforma o dal Client Support, permette di definire la matrice di permessi di accesso alla documentazione e alla sua relativa struttura. Quando l’utente accede alla piattaforma, il sistema rende fruibili i documenti per download e visualizzazione in sicurezza (mediante viewer e downoad link).
In fase di popolamento della piattaforma, ogni file eventualmente caricato viene “spezzettato”, trasmesso e incanalato in uno stream cifrato, con una chiave generata ad hoc per lo specifico documento, verso il Repository del nostro cloud. In nessuna fase dell’operazione, i dati sono salvati in chiaro.
Ulteriore livello di sicurezza si raggiunge con l’inserimento di una passphrase, ovvero un segreto che solo il cliente può e deve conoscere che cifra tutte le chiavi di ogni singolo file censito sul KeyMaster.
La presenza della passphrase attiva sul KeyMaster garantisce l’accesso alle chiavi dei file. In qualsiasi momento il cliente più revocarla e inibire l’accesso a tutta la documentazione in piattaforma.
In un certo senso, è come se si accrescesse il livello di accountability dell’azienda, rispetto al tipo di sicurezza che vuole conferire a ciascuna tipologia di file. In quest’ottica, la piattaforma pone una netta separazione tra Multipartner e il cliente», continua D’Alessandro. «Noi che siamo i produttori, gli erogatori e i controllori del servizio, oltre che i garanti logistici e legali dell’architettura su cui è fondato, rispetto alla gestione dei dati siamo in una posizione del tutto subordinata a quella del data owner . Pur usufruendo di una soluzione SaaS, ovvero tecnicamente esterna all’azienda, l’owner dei dati dispone infatti del controllo totale delle informazioni. Di fatto è come se queste fossero residenti su sistemi interni».
Uno strumento efficace è prima di tutto uno strumento facile da usare
Enigma è frutto di una serie di collaborazioni che Multipartner ha attivato con il versante accademico ormai diversi anni fa. In particolare, la partnership con il CIS, il Centro di Ricerca di Cyber Intelligence and Information Security della Sapienza di Roma, all’epoca guidato dal Prof. Roberto Baldoni, attuale direttore dell’Agenzia di Cybersicurezza Nazionale, ha permesso al team di Multipartner di trovare il giusto punto di equilibrio tra il livello di massima sicurezza possibile e prestazioni della piattaforma documentale. «Dopo aver messo in campo diverse ipotesi e aver testato soluzioni non sempre applicabili e percorribili nel mondo aziendale, abbiamo capito che per trovare la quadratura del cerchio occorreva disaccoppiare gli strumenti di profilazione da quelli di decrittazione», racconta Misale. «Enigma nasce per essere cucita addosso al nostro ecosistema dedicato al document management e alle Virtual Data Room, ma grazie a un livello di astrazione estremamente elevato e alla possibilità di utilizzare API per declinarne le funzionalità su altri tool, la soluzione è potenzialmente applicabile su un ampio spettro di piattaforme».
D’altronde l’obiettivo dichiarato di Multipartner è stato fin dal principio proprio quello di semplificare al massimo l’installazione e l’implementazione di Enigma: «Lo strumento è potente, se l’avessimo reso troppo complicato da adottare e usare nel quotidiano avrebbe perso efficacia», afferma D’Alessandro. «Ciascuna operazione di controllo può essere effettuata con pochi click, grazie a una serie di campi precompilati e a switch dedicati a ciascuna tipologia di utente. Tutto ciò che è stato raccontato fin qui, del resto, può risultare interessante soprattutto per i CIO e per i CISO, ma poi, nella realtà dei fatti, sono gli utenti privi di skill specialistiche quelli che devono lavorare sui documenti attraverso Enigma. Ecco perché», chiosa D’Alessandro, «abbiamo dato vita a un prodotto che richiede solo un’ora di training (reiterabile come servizio incluso nel canone). Inoltre, all’interno della piattaforma sono presenti tutorial ad hoc per la gestione delle varie funzionalità, a cui, eventualmente, si può aggiungere l’opzione Client support: il cliente che non può o che non vuole perdere tempo per settare i permessi di fruizione della piattaforma e associarli ai ruoli ha la facoltà di delegare a noi l’intera procedura, fermo restando che la gestione della password e il controllo del keymaster rimangono esclusivo appannaggio dell’owner dei dati, che mantenendo sempre in mano la chiave della cassaforte può affidarci la parte operativa».
