Le aziende scambiano quotidianamente file e dati da uffici remoti, con partner commerciali, clienti, uffici ed enti pubblici preposti ai controlli, ecc. Dati sensibili vengono trasferiti sotto forma di file di vario genere e tali informazioni devono essere correttamente protette.
L’Ftp, o il Secure Ftp (File Transfer Protocol, è il noto protocollo per la trasmissione di dati tra host basato su Tcp), rappresenta ancora il metodo più utilizzato dalle aziende per lo scambio di file. Tuttavia, nonostante questo tipo di soluzioni, soprattutto quelle di tipo Secure Ftp che integrano alcune funzionalità di protezione, rappresentino un buon “point-to-point delivery files”, non risultano sufficienti a supportare il sempre più crescente numero di processi aziendali che fanno affidamento sul trasferimento elettronico dei file. Malgrado l’ampia disponibilità e, molto spesso, la gratuità delle soluzioni Ftp, sono notevoli le carenze che analisti e specialisti sottolineano: il livello di sicurezza non è molto elevato (per esempio dati e password vengono trasmessi “in chiaro”); il protocollo non prevede un meccanismo di determinazione del buon esito di un’operazione di trasferimento e spesso non è in grado di rilanciare un trasferimento di dati non riuscito; non comprendono funzioni di automazione, non si integrano facilmente con le applicazioni aziendali e molto spesso presentano solo un’interfaccia manuale. Infine, l’Ftp non comprime i dati durante il trasferimento per cui richiede una notevole larghezza di banda e lunghi tempi di trasmissione.
In generale, nelle aziende si procede alla costruzione di un variegato puzzle tecnologico dato che l’approccio comune è adottare soluzioni di sicurezza per la protezione dei dati, altre soluzioni per il file transfer (solitamente sviluppate ad hoc, spesso in house oppure integrate come semplici funzionalità aggiuntive di altri tipi di piattaforme), tecnologie e prodotti differenti per la collaboration e il B2B workflow, ecc.
Molte delle applicazioni di trasferimento file sono state progettate, almeno fino a qualche anno fa, come semplici utility e non come soluzioni di tipo enterprise, per cui non presentano le funzionalità di gestione, controllo e integrazione necessarie per supportare l’attuale ambiente di business, estremamente complesso.
Ciò che, invece, oggi le piattaforme di Managed File Transfer sono in grado di garantire sono aspetti come:
1) Interoperabilità: la scelta per le aziende ormai dovrebbe orientarsi verso sistemi di controllo dell’integrazione e delle informazioni conformi a standard aperti e in grado di supportare un’ampia gamma di piattaforme e ambienti operativi. Le soluzioni proprietarie rappresentano ormai un limite inaccettabile per le aziende che hanno sempre più necessità di scambiare file in modo veloce (e naturalmente sicuro dato che interoperabilità si traduce anche con integrazione con sistemi di encryption e data protection). Il suggerimento, in sostanza, è scegliere un’architettura aperta con Api che favoriscano la perfetta integrazione con le applicazioni enterprise a supporto di processi di business mission critical.
2) Gestione del workflow business-to-business: rappresenta l’involucro che ruota attorno al secure file transfer dato che fa riferimento a tutti quegli aspetti di controllo real-time degli eventi, sistemi e funzionalità di audit e reporting, capacità di recupero e risoluzione dei problemi, supporto, ecc. per facilitare, automatizzare e controllare il workflow e ogni singolo passaggio nel file transfer.
3) Secure file transfer: rappresenta il vero “cuore” delle piattaforme di Managed File Transfer e prende in considerazione aspetti come la protezione end-to-end, automazione 24×7, controllo e supporto in-process da un singolo punto di controllo attraverso dashboard e consolle specifiche.
4) Scalabilità: intesa come capacità di adattarsi ad esigenze di business in costante evoluzione, migliorando di conseguenza il livello di servizio del trasferimento dei file.
La sicurezza, cuore del managed file transfer
La componente di Secure File Transfer rappresenta un tassello molto importante delle piattaforme Mft dato che oggi le aziende sono vincolate da normative sempre più stringenti e da esigenze di business che impongono un’attenzione particolare agli aspetti di sicurezza dei dati.
Tre sono le aree principali che la componente di Secure File Transfer dovrebbe indirizzare adeguatamente: end-to-end data security; automazione 24X7; continuità e recovery in-process.
Parlare di sicurezza dei dati end-to-end all’interno di una piattaforma Mft significa principalmente adottare sistemi di crittografia a più livelli (per la protezione dei dati sia durante il processo di trasferimento sia una volta inviati/ricevuti) e di autenticazione e gestione degli utenti. Le esigenze di sicurezza relative a infrastrutture e sistemi informatici sono mutate radicalmente, per cui nuove funzionalità di sicurezza con autenticazione multilivello, accesso limitato da firewall e algoritmi crittografici avanzati sono diventate elementi imprescindibili per rendere più avanzati i sistemi di sicurezza anche a livello di trasferimento dei file.
Da un punto di vista tecnologico ciò significa pensare a un’autenticazione e autorizzazione complete per tutti gli utenti, server, client e database presenti nella rete Mft. Ciascun server dovrebbe contenere il proprio schema di autenticazione e autorizzazione e dovrebbe essere previsto un ampio uso di tecnologie crittografiche per le comunicazioni interne e per tutti i trasferimenti di file. I privilegi di accesso dovrebbero essere attribuiti agli amministratori di sistema in base al ruolo gerarchico e allo status in termini di sicurezza. Un altro fattore decisamente importante riguarda l’auditing. Oggi le piattaforme Mft avanzate consentono il logging di ciascun evento relativo a trasferimenti a livello locale e centrale, e permettono di avere report dettagliati su ogni singolo aspetto di tutti i file transfer. Il tutto in modo automatizzato e con disponibilità 24×7.
Parlare di automazione 24×7 è di fondamentale importanza in settori dove il file transfer assume un ruolo decisamente critico come in ambito finanziario (ma anche in aree come le Tlc, la Pa, il manufacturing con particolare riferimento alla supply chain, ecc.). Ciò che dunque le soluzioni Mft dovrebbero garantire in ambito sicurezza, oltre a un’ampia serie di report e di audit dettagliati, anche tool di interrogazione on line e di segnalazioni in tempo reale per allertare immediatamente il personale se le circostanze lo richiedono, garantendo al tempo stesso anche la conformità alle normative vigenti.
Elemento critico risulta dunque anche l’aspetto di correzione degli errori e quello che le moderne tecnologie di Mft garantiscono è la possibilità di interventi automatizzati che non bloccano o rallentano i processi. La garanzia dell’avvenuto trasferimento dei dati, nei tempi stabiliti alla destinazione finale, per esempio, è un aspetto che nelle relazioni B2B e per coloro che si basano sui service level agreement (Sla) assume una nota di business da non sottovalutare (in certi casi una non consegna può anche tradursi in un fermo produttivo con conseguenti disagi sul business).
La consegna sicura e garantita è prevista solo da sistemi Mft avanzati che, proprio attraverso l’uso di sistemi di controllo degli errori e riavvio automatico, segnalazioni di eccezioni, gestione delle code, bilanciamento produzione-workflow e un alto livello di affidabilità del software, si distinguono da sistemi di trasferimento di file obsoleti e, soprattutto, ormai poco affidabili.
Conformità normativa: cosa può fare l’Mft
La conformità normativa è attualmente una delle sfide più importanti che devono affrontare le aziende, in quanto le normative in vigore prevedono la documentazione, l’auditing e l’attribuzione di responsabilità per ogni singolo processo. Di conseguenza, le aziende devono analizzare il modo in cui proteggono, gestiscono e controllano i trasferimenti di file, eliminando eventuali punti deboli.
Le piattaforme di Managed File Transfer di ultima generazione sono ormai dotate di avanzati sistemi di protezione dei dati e supportano i più comuni standard crittografici oltre ad avere ampie funzionalità di auditing e conformità a normative (presenti e future). Aspetto importante, va ricordato, la possibilità di integrarsi e interagire con sistemi aziendali già presenti grazie all’utilizzo di standard aperti e riconosciuti a livello internazionale.
