Sicurezza dell’audit o della revisione: definizione e significato per il cloud

Conservare le informazioni in forma elettronica è ormai all’ordine del giorno in molte aziende. La dematerializzazione sta diventando sempre più popolare. Tuttavia, c’è molto da considerare quando si tratta di archiviazione digitale: i documenti che devono essere conservati, per esempio, devono essere sempre memorizzati nello spazio di archiviazione digitale in un modo conforme e rispettando i criteri di sicurezza. Vi sveliamo cosa s’intende per sicurezza dell’audit.

Nella sicurezza dell’audit è compresa l’archiviazione sicura delle informazioni in forma elettronica, che viene anche chiamata archiviazione a prova di audit. In origine, questo controllo riguarda i dati che devono essere conservati nell’ambito del diritto commerciale e fiscale, i cui sistemi di archiviazione devono soddisfare diversi requisiti. La conservazione digitale a prova di audit tiene conto delle seguenti leggi e indicazioni:

• DPR 26 ottobre 1972 n. 633 che disciplina l’imposta sul valore aggiunto, ovvero l’IVA;
• Circolare 36/E dell’Agenzia delle Entrate del 6 dicembre 2006 relativa all’assolvimento degli obblighi fiscali dei documenti informatici e la loro riproduzione su diversi supporti;
• Decreto legislativo del 05/08/2015 n. 127 in merito alla fatturazione elettronica e a tutte le relative normative;
• ISO/IEC 27001:2013 riguardante la sicurezza vigente a livello internazionale.

Sono infine da rispettare gli obblighi imposti dalla legge sulla conservazione dei documenti aziendali.

Ci sono dieci caratteristiche che possono essere rilevate per la sicurezza della revisione:

1. Completezza: un documento deve essere archiviato nella sua interezza.
2. Immodificabilità: tutti i documenti devono rimanere invariati e non devono essere modificati al momento dell’archiviazione.
3. Regolarità: ogni documento deve essere conservato nel rispetto dei criteri legali e organizzativi.
4. Recuperabilità: tutte le informazioni devono essere recuperabili, per esempio tramite indicizzazione con metadati.
5. Uso solo da parte di persone autorizzate: tutte le informazioni devono essere archiviate in modo tale da poter essere visualizzate solo da persone autorizzate.
6. Protezione contro la perdita: la sicurezza dei dati deve essere garantita in ogni momento.
7. Rispetto dei periodi di conservazione: un documento può essere cancellato dall’archivio solo quando è trascorso il periodo di conservazione applicabile per legge.
8. Documentazione: una documentazione dettagliata del processo di archiviazione è obbligatoria, per esempio per permettere una migrazione senza problemi dell’archivio.
9. Tracciabilità: tutti i cambiamenti nell’archivio devono essere registrati in modo che siano tracciabili e che sia possibile il ripristino dello stato originale.
10. Verificabilità: un sistema di archiviazione a prova di audit deve essere verificabile da un terzo esperto in qualsiasi momento.

Un archivio digitale che soddisfa i suddetti requisiti di sicurezza dell’audit può dare i suoi frutti per diverse ragioni. Da un lato, un archivio a prova di audit aiuta a ottimizzare i processi aziendali: i meccanismi di ricerca adeguati e una migliore struttura delle informazioni assicurano che i documenti desiderati siano disponibili nel più breve tempo possibile, per esempio per poter rispondere ancora più velocemente alle richieste dei clienti.

Dall’altro lato, questo processo aiuta a ridurre al minimo gli errori nella gestione di dati o documenti importanti a lungo termine. L’archiviazione elettronica a prova di revisione assicura che non vi siano copie multiple di un documento o che nessuna informazione sia cancellata accidentalmente.

In generale, le aziende possono prevenire maggiori danni finanziari e una possibile perdita di immagine a causa di documenti persi o accessi non autorizzati, implementando un sistema di archiviazione a prova di audit.

Impostando e utilizzando un sistema a prova di revisione per l’archiviazione digitale dei documenti è possibile guadagnarsi la fiducia di clienti e partner. I certificati che confermano la sicurezza dell’audit garantiscono l’affidabilità dell’azienda e sono quindi richiesti non solo come un importante fattore di persuasione per nuovi clienti, partner e investitori, ma anche come base per una cooperazione a lungo termine.

Tipicamente, l’audit e la certificazione della sicurezza dell’audit dei sistemi di archiviazione elettronica sono eseguiti da revisori sul posto.

I vantaggi del cloud computing hanno reso il lavoro nel cloud indispensabile in molte aziende. Particolarmente popolare tra le PMI è la memorizzazione e l’archiviazione di file e documenti in uno spazio di archiviazione cloud.

Simile al tema della protezione dei dati, la sicurezza dell’audit è ponderata in modo abbastanza diverso dai fornitori delle varie soluzioni di mercato. Soprattutto si registra una diversa consapevolezza dell’archiviazione delle informazioni conforme alla protezione dei dati e a prova di audit a seconda che si tratti di fornitori europei o statunitensi. Per gli utenti è quindi importante che un servizio cloud osservi il GDPR, oltre a implementare tutte le misure previste dalle leggi nazionali.

Le caratteristiche tipiche della sicurezza dell’audit si applicano anche a un cloud a prova di audit:

• L’immodificabilità delle informazioni memorizzate deve essere garantita. I fornitori possono raggiungere questo obiettivo, tra le altre cose, attraverso la cronologia automatica delle versioni di tutti i dati del cloud.
• La tracciabilità della sicurezza della revisione può essere realizzata nel cloud attraverso un registro di attività protetto che registra tutti i trasferimenti di file e i processi di modifica e cancellazione.
• Anche la protezione contro la perdita di file è un punto importante. I fornitori di cloud promettono un alto livello di sicurezza dei dati e fanno per esempio affidamento su hardware georidondanti, crittografia e potenti software di sicurezza. Per l’archiviazione a prova di audit, si dovrebbe ricorrere anche a un’ulteriore soluzione di backup.
• Le funzioni di ricerca integrate assicurano che il cloud storage soddisfi anche il fattore di “recuperabilità”.
• Il requisito di prevenire l’accesso non autorizzato può essere soddisfatto anche dal cloud storage attraverso un’appropriata gestione degli accessi. Sulla base di tale strumento di gestione, i responsabili possono creare e assegnare ruoli utente in modo che ogni utente del cloud possa visualizzare, aprire e modificare solo ciò che corrisponde al suo stato nell’azienda.