Quando un’azienda decide di esternalizzare i propri processi documentali, quali sono i criteri che deve considerare per la scelta del partner? La risposta, evidentemente articolata, si basa sull’esperienza di processi specifici, competenze verticali, certificazioni, tecnologie e asset, ma anche su altri pilastri di un Business Process Outsourcer. In particolare, la capacità di assicurare la continuità del business dei propri clienti anche in condizioni estremamente difficili – come quelle che stiamo vivendo nelle ultime settimane – e, ovviamente, di garantire la massima sicurezza e riservatezza delle informazioni.
L’accenno all’attualità è tutt’altro che casuale: mai come ora, in periodo di smart working forzato un po’ per tutti, la capacità di garantire comunque la continuità del servizio attraverso tecnologie e processi ad hoc, senza cedere terreno sul fronte della sicurezza, diventa determinante al fine di identificare il partner migliore. Anche perché garantire il servizio non è cosa da tutti: qui non si tratta solo di assicurare sistemi operativi 24/7, ma di gestire in modo smart processi che spesso partono da un documento cartaceo.
Business Continuity: una priorità assoluta
Per approfondire il discorso e calarlo nel contesto attuale abbiamo contattato Alfredo Lupi, fondatore e CEO di Microdata Group, Business Process Outsourcer italiano con 30 anni di esperienza e una specializzazione nell’ambito dei processi bancari e assicurativi: “Fornire ai clienti un servizio che permetta la continuità del loro business, cioè permetta loro di erogare correttamente i propri servizi anche in condizioni difficili come quelle che stiamo vivendo, è una priorità assoluta per noi. Un po’ come tutti, i nostri clienti sono stati costretti a lavorare da remoto e molti si sono trovati in difficoltà perché si sono resi conto che alcuni processi non digitalizzati non potevano essere gestiti se non in maniera analogica. Per questo, cioè per poter operare senza interruzioni, ci hanno chiesto di intervenire per accelerare il processo di digitalizzazione: dal canto nostro, stiamo rispondendo alla chiamata con tutta l’esperienza e gli strumenti di cui disponiamo, e sono certo che proprio questo periodo favorirà un cambiamento in tal senso. Inoltre, per quanto riguarda gli strumenti, le piattaforme di consultazione documentale sono ovviamente a servizio anche in Smart Working e restano il fattore abilitante che ha potuto garantire la continuità del servizio anche in questo momento”.
Diventa perciò fondamentale smettere di produrre documenti cartacei oppure – avvalendosi di Service Provider come Microdata – digitalizzarli immediatamente così che tutti i processi successivi siano digitali e possano essere gestiti da remoto tramite piattaforme online. “Va da sé – aggiunge Lupi – che parlando di business continuity, entriamo anche nel merito dei nostri due data center che sono completamente ridondati, sfruttano tecnologie di iperconvergenza e ci consentono di avere una perdita di dati pari a zero perché ogni volta che facciamo un’azione questa viene replicata istantaneamente sull’altro data center; mentre in casi di assoluta emergenza, siamo in grado di ripristinare i servizi nell’arco di un minuto (RTO). Questi sono gli asset fondamentali, che ovviamente abbiamo rafforzato in termini di sicurezza per garantire il rispetto delle policy dei nostri clienti”. Per assicurare ai clienti la continuità del servizio, Microdata sta operando con successo in Smart Working, svolgendo tutte le attività, come quelle di back office, che abbiano come pre requisito l’immagine digitale del documento.
Sicurezza by design e riservatezza: i pilastri della gestione documentale
Se è vero che oggi la continuità operativa e la capacità di assecondare modelli di lavoro smart sono sotto i riflettori, sulla base di quali altri fattori viene scelto un partner per la gestione documentale? “Dipende dalle specifiche esigenze – continua Lupi –. Un COO, per esempio, deve valutare la capacità del partner di gestire picchi di lavoro e momenti di difficoltà come questo, mentre un CIO è molto più interessato alla capacità di effettuare integrazioni e personalizzazioni in autonomia, perché il time-to-market deve essere sempre molto rapido. Soprattutto, però, un CIO deve verificare che il provider sia ‘compliant’ con le policy aziendali, il che, dal nostro punto di vista, significa capacità di garantire altissimi livelli di sicurezza e di riservatezza del dato”.
A queste esigenze si risponde in diversi modi. Il GDPR, inasprendo le sanzioni previste in caso di inadempimento, ha accresciuto la consapevolezza che i dati vadano trattati in modo sicuro. Esistono inoltre apposite certificazioni al riguardo: ISO 27001 è il punto di riferimento, cui sono seguite implementazioni specifiche come ISO 27017 che riguarda i processi di gestione della sicurezza e i controlli in capo ai fornitori di servizi cloud e ISO 27018 che è un codice di condotta sulla protezione dei dati personali. Altra certificazione importante è la ISO 23301, che riguarda la continuità operativa del business e che quindi, per tutto ciò che si è detto finora, è certamente sotto i riflettori.
Microdata e la sicurezza delle informazioni
Al di là delle certificazioni, dell’esperienza e dei due data center di proprietà, in che modo Microdata risponde alle esigenze di sicurezza e riservatezza palesate dai clienti? “Soprattutto nei settori in cui operiamo, i clienti vogliono garanzie che le informazioni vengano utilizzate solo per gli scopi predefiniti e non vi siano possibilità che vengano trafugati. Rispondiamo a queste esigenze in molti modi diversi: per esempio, i nostri stessi amministratori di sistema non hanno la possibilità di copiare o di vedere certi dati sensibili in quanto cifrati. Inoltre abbiamo realizzato un percorso di Data Protection interno attraverso, ad esempio : blocco dei dispositivi removibili, tecnologie avanzate di Data Loss Prevention e sistemi installati sugli endpoint in grado di rilevare e segnalare comportamenti dubbi. Non solo: abbiamo le sandbox nelle e-mail, usiamo sistemi di strong authentication, fino a strutturare teams di Network Operation Center (NOC), Security Operation Center (SOC) e System Information & Event Management in grado di analizzare tutti i log delle macchine e segnalare tentativi di intrusione e attacchi dall’esterno. Non ultimo, abbiamo attivato il Vulnerability Assessment (VA) e il Penetration Test (PT) su tutti gli applicativi che esponiamo all’esterno, perché dobbiamo essere certi della loro sicurezza. Tutte queste attività non solo ci rendono compliant alle policy dei nostri clienti, ma ci danno un vantaggio competitivo sul mercato”.