S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO La conservazione digitale dei documenti e la gestione del cambiamento Conservazione dei documenti e sicurezza Davide Grassano Membro della Commissione Informatica 17 dicembre 2014 - Milano Sommario 1 Come cambia il processo di fatturazione e di conservazione e le implicazioni in termini di sicurezza 2 Le normative sulla sicurezza della fatturazione Elettronica verso la P.A. e Sistema di Conservazione 3 Requisiti di sicurezza secondo le regole tecniche in materia di Sistema di Conservazione 4 Sicurezza e gestione del rischio © 2014 Davide Grassano 2 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Sicurezza del processo di fatturazione e conservazione tradizionale Processo di fatturazione e conservazione tradizionale Produzione fattura Invio fattura Sistema informativo ciclo attivo Nel processo di fatturazione tradizionale, la sicurezza informatica del ciclo attivo è concentrata nell'area della produzione della fattura, dove è presente la componente dei sistemi informativi. La sicurezza informatica è ben presidiata laddove siano correttamente controllati i rischi per gli accessi ai sistemi ed ai dati, di utenti e amministratori di sistema e laddove siano correttamente gestiti i temi del cambiamento (modifiche correttive ed evolutive) della disponibilità dei sistemi e della continuità del business. Conservazione © 2014 Davide Grassano 3 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Come cambia il processo di fatturazione e conservazione Sistema di Conservazione Società Nel processo di fatturazione elettronica, la sicurezza informatica del ciclo attivo è distribuita per l'intera filiera di gestione della fattura, coinvolgendo i diversi attori del ciclo. ERP (es. SAP) Fattura XML On premise o In outsourcing SOGEI - SdI Sistema d'Interscambio Pubblica Amministrazione © 2014 Davide Grassano 4 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Le normative sulla sicurezza della fatturazione Elettronica verso la P.A. e Sistema di Conservazione Il D.C.P.M. del 3 dicembre 2013 introduce le Regole tecniche in materia di Sistema di Conservazione, dove gli oggetti della conservazione sono: i documenti informatici, i documenti amministrativi informatici (fatture, registri, ecc.), i fascicoli informatici o le aggregazioni documentali informatiche. Finalità del sistema di conservazione è quello di garantire attraverso l'adozione di regole, procedure e tecnologie le caratteristiche di autenticità, integrità, affidabilità, leggibilità, reperibilità. All'art. 6 si individuano i diversi ruoli del sistema di conservazione costituiti da: il produttore, l'utente, il responsabile della conservazione. All'art. 9 il processo di conservazione descrive le diverse fasi: • dall'acquisizione del pacchetto di versamento, alla preparazione dei pacchetti di archiviazione alla preparazione dei pacchetti di distribuzione All'art. 12 sicurezza del sistema di conservazione, predisposizione del piano di sicurezza o adozione delle regole di settore. © 2014 Davide Grassano 5 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Le normative sulla sicurezza della fatturazione Elettronica verso la P.A. e Sistema di Conservazione Il responsabile della conservazione secondo il D.C.P.M. del 3 dicembre 2013 opera d'intesa con il responsabile del trattamento dei dati personali, il responsabile della sicurezza, il responsabile dei sistemi informativi e il responsabile della gestione documentale • adotta le misure necessarie per la sicurezza fisica e logica del sistema di conservazione; • assicura agli organismi competenti previsti dalle norme vigenti l'assistenza e le risorse necessarie per l'espletamento delle attività di verifica e di vigilanza. Il manuale di conservazione illustra dettagliatamente l'organizzazione, i soggetti coinvolti e i ruoli svolti dagli stessi, il modello di funzionamento, la descrizione del processo, la descrizione delle architetture e delle infrastrutture utilizzate, le misure di sicurezza adottate e ogni altra informazione utile alla gestione e alla verifica del funzionamento, nel tempo, del sistema di conservazione. © 2014 Davide Grassano 6 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Sicurezza della fatturazione e conservazione e reati informatici più rilevanti Art. 615-ter: Accesso abusivo ad un sistema informatico o telematico Art. 615-quarter: Detenzione e diffusione abusiva di codici di accesso ai sistemi informatici o telematici Art. 615-quinquies: Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informativo o telematico Art. 635-bis: Danneggiamento di informazioni, dati e programmi informatici Art. 635-quarter: Danneggiamento di sistemi informatici o telematici Art. 635-ter: Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità Art. 640-quinquies: Frode informatica del soggetto che presta servizi di certificazione di firma elettronica © 2014 Davide Grassano 7 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Sicurezza della fatturazione e conservazione e normativa privacy Alcuni spunti di riflessione: La normativa Privacy (D.Lgs. 196/2003) interessa l’intera attività aziendale e, se implementata correttamente e mantenuta costantemente, offre strumenti utili per prevenire, reprimere, circoscrivere e provare gli illeciti di cui alla disciplina del D.Lgs.31/2001 ancorché la privacy regolamenta solo i dati personali L’applicazione delle misure di sicurezza richieste dalla normativa Privacy è fondamentale per l’adeguamento al sistema 231 per poter gestire una serie di rischi: • distruzione o perdita anche accidentale di dati • accesso non autorizzato • trattamento non consentito • trattamento non conforme alle finalità della raccolta © 2014 Davide Grassano 8 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Quale misure di sicurezza adottare In seguito all’introduzione della normativa sull'archiviazione sostitutiva e dei crimini informatici tra quelli previsti dal D.Lgs. 231/2001, gli enti dovranno adottare modelli e strumenti concreti di organizzazione, gestione, monitoraggio e controllo al fine di garantire la Sicurezza del sistema di conservazione inclusa la predisposizione del piano di sicurezza e l'adozione delle regole di settore adeguate. Dovranno essere predisposte preventive ed idonee misure di sicurezza e di controllo per prevenire potenziali reati inform atici mediante l’ausilio di strumenti tecnologici. © 2014 Davide Grassano 9 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Quale misure di sicurezza adottare Rete Software Processi Ruoli e autorizzazioni Servizi IT Normativa e Privacy Personale e cultura Esistono diversi standard, best practice e normative che supportano e spingono verso la definizione, implementazione, valutazione e monitoraggio di un Sistema di controllo IT che sia in grado di mitigare i rischi legati ai reati informatici: Sicurezza Controlli © 2014 Davide Grassano 10 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Accesso alle informazioni e misure di sicurezza Reato Es. Protocolli di controllo Condotta Ipotesi di reato Punisce la condotta di chi si introduce abusivamente, ossia eludendo una qualsiasi forma, anche minima, di barriere ostative all’accesso, in un sistema informatico o telematico protetto da misure di sicurezza, ovvero vi si mantiene contro la volontà di chi a diritto di escluderlo. Soggetti che si introducono nel sistema informatico della società per effettuare operazioni che portino un interesse o vantaggio per la società (diminuzione del credito dei clienti, maggiorazione dei costi dei servizi erogati, fatturazione di servizi non richiesti). • Definizione di politiche di sicurezza delle informazioni - gestione e uso delle password, modalità di effettuazione dei log-in e log-out, uso della posta elettronica, modalità di utilizzo dei supporti rimovibili, l'uso dei sistemi di protezione (antivirus, spam, phishing, spy) • Inventario aggiornato dell'hardware e del software in uso agli utenti • Procedure formali per l’assegnazione di privilegi speciali (ad es. amministratori di sistema, super-user) • Tracciamento degli accessi degli utenti alla rete aziendale • Controlli sugli accessi agli applicativi effettuati dagli utenti Soggetti si introducono abusivamente in sistemi informatici esterni al fine di procurare un interesse o vantaggio alla società. Ad esempio: - accesso abusivo nel sistema informatico di un concorrente al fine di conoscere l'offerta economica presentata per la partecipazione alla gara di appalto. - accesso abusivo nel sistema informatico di un concorrente al fine di conoscere il portafoglio clienti. • Tracciamento e monitoraggio degli eventi di sicurezza sulla rete © 2014 Davide Grassano 11 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Accesso ai sistemi e misure di sicurezza Reato Condotta Ipotesi di reato Punisce la condotta di chi abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni in questo senso, allo scopo di procurare a sé o ad altri un profitto, o di arrecare ad altri un danno. Soggetti si procurano codici di accesso ai sistemi informatici al fine di accedere al sistema interno ed effettuare operazioni che portino interesse o vantaggio per la Società. Soggetti si procurano codici di accesso di sistemi informatici al fine di accedere a sistemi esterni e procurare un interesse o vantaggio alla Società. Es. Protocolli di controllo • Definizione di politiche di sicurezza delle informazioni - gestione e uso delle password, modalità di effettuazione dei log-in e log-out, uso della posta elettronica, modalità di utilizzo dei supporti rimovibili, l'uso dei sistemi di protezione (antivirus, spam, phishing, spy) • Creazione, modifica e cancellazione di account e profili • Procedure formali per l’assegnazione di privilegi speciali (ad es. amministratori di sistema, super-user) • Adozione di meccanismi di segregazione delle reti • Gestione delle credenziali fisiche (badge, pin, codici di accesso, token authenticator, valori biometrici, ecc.) • Tracciamento e monitoraggio degli eventi di sicurezza sulla rete • Sicurezza fisica dei siti ove risiedono i sistemi IT © 2014 Davide Grassano 12 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Sicurezza dell'emissione e trasmissione delle fatture Con riferimento alle tecnologie adottate, l'adozione della fatturazione elettronica e del sistema di conservazione sostitutiva introduce alcuni elementi di cambiamento che possono mettere in crisi i requisiti di autenticità, integrità, affidabilità, leggibilità e reperibilità rappresentati dalla norma. Gli elementi di cambiamento ed i rischi correlati sono rappresentati di seguito. Elementi di cambiamento Rischi Il sistema di conservazione può essere realizzato internamente alla struttura organizzativa o affidandola, in modo totale o parziale, ad altri soggetti che offrono idonee garanzie organizzative e tecnologiche. La scelta di affidare ad altri soggetti il sistema di conservazione non esime la struttura organizzativa dalle responsabilità di attuare le regole tecniche prescritte dalle leggi e di monitorarne la corretta adozione. Il rischio che l'organizzazione non presidi adeguatamente Emissione fattura: i documenti informatici (anche fatture) sono "appoggiati" ad un file repository o ad un Content Management System (CMS). Se il file repository o CMS non sono adeguatamente protetti dagli accessi non autorizzati, la fattura può subire modifiche con criticità per l'integrità dei file. La trasmissione delle fatture utilizza nuovi canali di comunicazione (PEC, HTTPS, rete SPC, FTP) per l'invio delle fatture al Sistema di Interscambio. Questo può avvenire in modalità diretta o indiretta tramite un service provider. Per il canale PEC: il soggetto che opera la trasmissione della fattura potrebbe essere generico e non garantire la qualifiche di autenticità, integrità e affidabilità dei file spediti. Per gli altri canali (HTTPS, rete SPC, FTP): il livello di sicurezza di accesso potrebbe essere basso o non protetto e facilmente oggetto di attacchi nella rete. © 2014 Davide Grassano 13 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Sicurezza del processo di conservazione Nuovi elementi di cambiamento Rischi Le norme stabiliscono la necessità di un'organizzazione di coordinamento tra il Responsabile della conservazione ed i responsabili: dei sistemi informativi, della sicurezza, del trattamento dati personali e della gestione documentale) Il coordinamento tra i diversi "sistemi di controllo" (IT, Sicurezza, Privacy, documentale) potrebbe essere debole, inadeguato o non allineato all'organizzazione aziendale, alle policy ed alle procedure già presenti, introducendo problemi di governance (IT, sicurezza, ecc.). Introduzione dei ruoli e responsabilità per, almeno, tre categorie di utenti: il produttore, il responsabile della conservazione e l'utente L'assenza di un'analisi e di un disegno dei ruoli e delle responsabilità e delle eventuali deleghe, dei soggetti coinvolti nel processo di conservazione (produttori, responsabile della conservazione, utenti), potrebbe pregiudicare l'operatività dei processi e dei flussi che gestiscono i documenti informatici. Introduzione del processo di conservazione L'assenza dell'analisi e del disegno del processo di conservazione può causare la carenza di controllo dei documenti in ingresso, errori di conservazione, carenza di monitoraggio e carenza nell'esibizione corretta dei documenti Applicazione della firma digitale o qualificata alla fattura o documento informatico Il documento informatico può essere facilmente modificato o riprodotto se ad esso non è apposta la firma digitale, nelle fasi di formazione, trasmissione e conservazione. La firma digitale conferisce piena validità legale al documento cui è apposta, assicurando autenticità, integrità, non ripudio. © 2014 Davide Grassano 14 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Continuità operativa e accesso al sistema di conservazione Nuovi elementi di cambiamento Rischi Disponibilità dei processi/servizi applicativi del sistema di conservazione e di quelli di comunicazione Un monitoraggio carente o nullo dei processi/servizi applicativi e di comunicazione potrebbe causare l'indisponibilità degli stessi anche per tempi prolungati. Accesso autorizzato e autenticato al sistema di conservazione e ai certificati di firma digitale Le modalità di autorizzazione e di autenticazione per accedere al sistema di conservazione e ai certificati di firma, potrebbero essere deboli e non in linea con le principali best practices (protezione, lunghezza, scadenza, complessità, ecc.) La continuità operativa del sistema di conservazione dev'essere garantita Una discontinuità significativa nell'operatività del sistema di conservazione e del sistema di comunicazione pone rischi di disponibilità e integrità delle fatture e dei documenti informatici. Salvataggio dei documenti informatici (es. fatture) e dei metadati correlati Per il sistema di conservazione potrebbero essere assenti: processi periodici di back-up completo dei documenti, delle evidenze qualificanti il processo, dei database di gestione del sistema. E' necessaria una conformità nel tempo del sistema di conservazione alle leggi, regolamenti, alla documentazione generale del sistema L'assenza di processi di audit che coinvolgono aspetti di processo, organizzazione e tecnologia, potrebbe non consentire l'individuazione di aree critiche e la pianificazione degli interventi di rimedio. © 2014 Davide Grassano 15 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Conservazione dei documenti e sicurezza Fatturazione Elettronica e Sistema di Conservazione – rischi di sicurezza Nuovi elementi di cambiamento Rischi garantire la conservazione, l'accesso ai documenti informatici e l'adozione di misure per rilevare tempestivamente l'eventuale degrado dei sistemi di memorizzazione, delle registrazioni e, ove necessario, ripristinare la corretta funzionalità, anche con riguardo all'obsolescenza dei formati. Con il passare degli anni l'obsolescenza dei software e dei sistemi, fa crescere il rischio che il sistema di conservazione diventi inaffidabile rendendo critici i requisiti di leggibilità e reperibilità. Tutti i problemi e gli incidenti operativi del sistema di conservazione richiedono di essere presidiati. Ogni causa di incidente o problema operativo pone il rischio di blocco del sistema di conservazione o il danneggiamento dei documenti e dati in esso contenuti. Quando tali incidenti o problemi non sono tracciati, la loro rimozione potrebbe non essere garantita, così come il ripristino della funzionalità. La lista degli incidenti e delle contromisure adottate, potrebbe non essere adeguatamente conservata. Continuità operativa (disaster recovery) del sistema di conservazione Una discontinuità significativa nella gestione operativa del sistema di conservazione pone rischi di disponibilità e integrità delle fatture e dei documenti informatici anche fiscalmente rilevanti. © 2014 Davide Grassano 16 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Il modello di gestione integrate della sicurezza e della compliance normative Identificazione e mappatura delle attività sensibili Modello organizzativo e responsabilità • Ruoli e funzioni e deleghe • Nomine dei responsabili e formazione Sistema di gestione della sicurezza • • • • • • Modelli organizzativi Mappatura Processi Policy e Procedure Valutazione dei rischi Valutazione delle efficacia dei controllo Disegno e adeguamento delle misure di sicurezza Continuità operativa e disponibilità delle informazioni • Continuità operativa • Business Continuity • Backup e disaster recovery © 2014 Davide Grassano 17 S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Grazie S.A.F.- SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
© Copyright 2024 ExpyDoc
