I documenti aziendali sono il cuore pulsante dell'operatività di qualsiasi organizzazione. Su di essi si basano le decisioni, i rapporti contrattuali, i processi, le relazioni con i clienti e lo sviluppo strategico.
Ogni giorno, a seconda delle dimensioni dell'organizzazione, vengono prodotti e condivisi enormi volumi di documenti, che fungono da custodi di informazioni di valore: si pensi ai report finanziari, ai progetti di ricerca e sviluppo, alle strategie di marketing e ai dati dei clienti, per non parlare di dati sanitari e segreti industriali. La loro importanza è tale da rendere la sicurezza e la riservatezza delle informazioni delle priorità assolute per le imprese di ogni settore, da cui il ruolo cardine della document encryption.
Quando le dimensioni dell’azienda superano una certa soglia, il controllo dei documenti non può essere manuale.
Le minacce alla loro integrità e, soprattutto, alla riservatezza, sono molteplici. Senza scomodare subito i ransomware, che presuppongono un attacco mirato all’organizzazione, basti pensare che l’invio di un documento riservato a un destinatario sbagliato ne compromette la riservatezza e costituisce, quanto meno in senso lato, un data breach, da cui conseguenze di natura sanzionatoria, contrattuale e reputazionali. Secondo le ultime rilevazioni di IBM, un data breach ha un costo medio superiore ai 4 milioni di dollari.
Le vulnerabilità sono ovunque. Basta una password debole per permettere ai malintenzionati di accedere ai sistemi (e quindi ai documenti), per non parlare del furto e dello smarrimento di dispositivi di lavoro non protetti (laptop, smartphone) contenenti file, documenti e credenziali di accesso.
La document encryption, o crittografia dei documenti, è il processo base per la protezione della riservatezza e dell’integrità delle informazioni aziendali. Com’è noto, l’utilizzo di un algoritmo crittografico rende i documenti illeggibili a chiunque non possieda la chiave di decrittazione corretta. Se anche il documento dovesse essere intercettato, compromesso, rubato o inoltrato per sbaglio a un indirizzo errato, le informazioni al suo interno rimarrebbero inaccessibili e protette da occhi non autorizzati.
Di per sé, l’impiego della crittografia rappresenta un fondamentale passo avanti in chiave di sicurezza aziendale, poiché garantisce:
L’esempio eloquente è proprio il ransomware, soprattutto quando viene usato in schemi di doppia estorsione. A patto di poter ripristinare rapidamente i documenti originali da un backup, l’attacco diventa totalmente infruttuoso perché i malintenzionati non possono leggere i documenti in loro possesso.
I documenti non dovrebbero mai risiedere in locale, per evitare di essere compromessi da un guasto, dal furto o dallo smarrimento del dispositivo. Se viene utilizzata la crittografia, la riservatezza delle informazioni è comunque garantita.
Le aziende sono soggette a due tipologie di norme: generali, come il GDPR, e specialistiche, di settore. In molti casi, la crittografia è adottata proprio per la conformità e leggi e regolamenti, come la Direttiva NIS 2, oltre che per acquisire e mantenere certificazioni come ad esempio ISO 27001.
Oltre a rendere illeggibile il documento, l’impiego della crittografia permette una verifica sulle possibili modifiche o alterazioni subite dal documento.
La condivisione delle informazioni, cuore pulsante di qualsiasi attività di business, è resa sicura e affidabile proprio dall’impiego della crittografia.
La document encryption rappresenta dunque un pilastro fondamentale nella protezione delle informazioni aziendali. Di per sé, però, essa rende semplicemente il file non leggibile a chi non è autorizzato a farlo; non considera, cioè, le specifiche esigenze e dinamiche aziendali, rischiando di compromettere la produttività.
Le aziende, dunque, richiedono soluzioni sofisticate, che siano in grado di adattare la crittografia non soltanto alle loro esigenze di massima sicurezza, ma anche a quelle operative; bisogna cioè tener conto di continue operazioni sui documenti, non solo di apertura e di scrittura da parte di persone diverse, ma anche di condivisione all’interno e all’esterno dell’organizzazione.
Diventa così necessario monitorare e controllare costantemente l'accesso ai documenti, ma anche assegnare specifici privilegi basati sui ruoli e sulle responsabilità di ognuno. Questo, per far sì che le attività eseguibili sui documenti, come la modifica, la lettura, il salvataggio e la condivisione, dipendano dal ruolo, dalla business unit di appartenenza e anche dai progetti specifici su cui si sta lavorando. Inoltre, è fondamentale che l'accesso ai documenti possa essere immediatamente revocato al termine di una collaborazione o modificato (a livello di privilegi) in caso di cambio di ruolo.
Le aziende necessitano quindi di una soluzione che, pur sfruttando intelligentemente la crittografia, non limiti la produttività delle proprie risorse. Una soluzione evoluta monitora attivamente il movimento dei file e le operazioni eseguite su di essi, oltre ad abilitare funzionalità come il monitoraggio da remoto, le scadenze e l’impostazione di filigrane sui documenti, la rimozione dei file da remoto e la ricezione di notifiche in caso di accessi non autorizzati.