Per comprendere al meglio il rapporto tra l’archiviazione dei dati e la conformità con l’impianto normativo cui le aziende sono soggette, bisogna partire dal valore del dato e dai fattori che ne minacciano l’integrità, la disponibilità e la confidenzialità.
Archiviazione dati e conformità: il panorama delle minacce
Nel corso degli anni, il valore del dato è cresciuto in modo esponenziale. Le aziende si affidano ai loro dati (e, limitatamente, a quelli di terzi parti) per costruire il proprio vantaggio competitivo in mercati sempre più sfidanti e complessi. Ciò ha attribuito al dato una rilevanza strategica non solo per il business della singola azienda, ma anche per l’intero sistema economico e sociale: si pensi alla gestione dei dati sanitari, dei pagamenti, alla trasmissione di informazioni sulle infrastrutture critiche del Paese e molto altro.
L’aumento esponenziale di valore ha letteralmente moltiplicato le minacce cui i dati sono soggetti, e in particolare:
-
gli errori umani, che in contesti sempre più digitalizzati possono portare a conseguenze disastrose;
-
gli attacchi cyber, che aumentano di anno in anno non solo in termini meramente numerici, ma anche nella gravità delle conseguenze.
In un contesto del genere, i legislatori hanno risposto introducendo norme sempre più rigide e dettagliate sulla gestione dei dati, archiviazione compresa. Interventi normativi come il GDPR, con il suo focus sulla tutela della confidenzialità, ma anche DORA, rivolto agli operatori finanziari, e la direttiva NIS 2, entrata in vigore il 16 ottobre 2024, rappresentano i pilastri di questo approccio. In particolare, NIS 2 si configura come il cuore del nuovo framework europeo di cyber security, fornendo linee guida essenziali per aziende di medie e grandi dimensioni che operano in settori ad alta criticità, come quello finanziario, sanitario e delle infrastrutture critiche.
La relazione tra archiviazione dei dati e compliance
Le aziende sono soggette a molteplici impianti normativi, alcuni dei quali ad ampio raggio d’azione (GDPR, NIS 2…) e altri più specifici e settoriali, come HIPAA per la sanità americana e DORA per gli operatori del mercato finanziario europeo. Esistono poi leggi per il settore privato, altre specifiche per quello pubblico e norme più o meno ampie per quanto concerne la loro estensione geografica.
Parlare di archiviazione dati e conformità significherebbe quindi esaminare le specifiche normative cui l’azienda è soggetta traducendone i principi in azioni concrete relative allo storage di dati. Alzando però un po’ la prospettiva, è possibile identificare dei tratti comuni per la compliance, ovvero:
- utilizzo di tecnologie di encryption: la crittografia dei dati, sia durante la fase di transito che la fase di archiviazione, è considerata il punto di partenza fondamentale per garantire l’integrità e la confidenzialità dei dati.
- access control: occorre in ogni caso implementare misure di sicurezza per evitare che soggetti non autorizzati accedano alle informazioni contenute nei dati.
- continuous authentication: tecniche che garantiscono in ogni istante l’identità del soggetto che accede ad un determinato dato.
- logging: l’operatività sui dati deve essere monitorata costantemente, così da poter risalire a chi, cosa e quando in caso di audit.
- retention: le normative impongono alle imprese la conservazione (immutabile) di dati per un certo periodo di tempo. Sotto questo profilo, c’è molta differenza tra gli impianti normativi, e in alcuni casi è prevista la conservazione perpetua.
Object Storage, un punto saldo per la compliance
L’archiviazione ad oggetti, grazie alle tecnologie che lo alimentano e all’architettura progettata per la scalabilità e la sicurezza, offre un solido fondamento per affrontare le sfide della compliance normativa. Le sue funzionalità, infatti, si allineano perfettamente con i requisiti comuni a molte normative in essere. Ad oggi i sistemi di archiviazione ad oggetti utilizzano, come standard più diffuso, il protocollo S3.
Per prima cosa, S3 supporta la crittografia sia a livello di bucket che di oggetto, consentendo alle organizzazioni di proteggere tutti i dati su cui si basa il loro business, mentre le liste di controllo degli accessi (ACL) e le policy IAM (Identity and Access Management) offrono un controllo granulare sui permessi, assicurando che solo gli utenti autorizzati possano accedere alle informazioni, in linea con le policy aziendali. Sono anche disponibili tool automatizzati di discovery, che analizzano i singoli bucket e classificano i dati sulla base di criteri di compliance e di sicurezza, permettendo alle aziende di adottare misure di sicurezza granulari e adeguate al singolo caso.
La tracciabilità, inoltre, è un altro aspetto fondamentale: lo storage S3 fornisce log dettagliati sulle operazioni effettuate sui bucket e sugli oggetti, consentendo alle organizzazioni di soddisfare i requisiti di logging e di condurre audit approfonditi. Inoltre, la funzionalità di versioning permette di tenere traccia delle modifiche apportate ai dati, consentendo di ripristinare versioni precedenti in caso di necessità e di dimostrare la conformità ai requisiti di conservazione.