Era il 2002 quando ci siamo accorti che il mondo dell’Information Technology stava avviandosi verso la rivoluzione del cloud computing. Abbiamo superato così il tradizionale paradigma in cui l’utente è proprietario della gestione delle risorse informatiche, passando ad un modello in cui ciò che conta è la possibilità di accedere, tramite internet, al servizio.
All’inizio eravamo pionieri, desiderosi di risolvere il problema principale delle aziende: i costi dell’IT. Oggi il cloud computing rappresenta lo stato dell’arte della tecnologia informatica.
Il nostro obiettivo è da sempre creare un servizio che possa effettivamente rappresentare ancora un valore aggiunto superando tutte le problematiche legate al possesso e alla gestione dell’IT, garantendo così il raggiungimento di un risultato tangibile e immediato per l’azienda.
Adottando soluzioni cloud computing, l’azienda può avere contemporaneamente un risparmio di costi, una maggiore potenza di elaborazione, ma si espone ad alcuni rischi, soprattutto dopo l’entrata in vigore del GDPR.
RISCHI:
- i dati non risiedono più sui server del titolare ma sono allocati su quelli del fornitore di cloud, i quali server potrebbero anche trovarsi fisicamente al di fuori dello spazio UE. Non sempre i Cloud provider danno piena trasparenza circa l’ubicazione fisica dei dati, che spesso dipende dai sub-fornitori (in genere una cerchia ristretta) che ospitano i sistemi di elaborazione (macchine fisiche e virtuali) nei propri Data Center. Su tale ubicazione hanno impatto anche la collocazione geografica dei Data Center di Disaster Recovery e dei dati di backup.
- l’infrastruttura è condivisa con diversi committenti per cui va garantita la separazione almeno logica dei dati e la sicurezza degli stessi;
- l’utilizzo avviene via Internet, per cui la velocità di connessione impatta sulla qualità del servizio, inoltre entra in gioco la sicurezza delle comunicazioni.
La maggior parte dei cloud provider ha sede all’estero, principalmente si tratta di aziende americane e la giurisdizione – soprattutto in seguito al GDPR- diventa un problema rilevante. La legislazione europea differisce da quella americana e in particolare in materia di protezione dei dati personali; le norme degli Usa sono meno tutelanti rispetto a quelle europee. Inoltre non dimentichiamo che l’accordo tra USA e UE per la circolazione dei dati personali dei cittadini europei, è fallito. Nel 2015 La Corte di Giustizia Europa ha emanato una sentenza dichiarando che il “US-UE Safe Harbor Framework” non era più valido in quanto non garantiva adeguatamente la protezione dei dati durante il trasferimento delle informazioni personali dei cittadini europei verso gli Stati Uniti.
Capire le implicazioni della sentenza è di cruciale importanza per le aziende.
Misure di sicurezza che devono essere garantite dal cloud service provider
Un aspetto fondamentale riguarda le misure di sicurezza implementate dal fornitore di cloud computing, sia delle strutture fisiche (locali) che dell’architettura hardware e software.
In tale prospettiva sarà, quindi, necessario ottenere le seguenti informazioni dal cloud service provider:
- Localizzazione dei Data Center, che dovrebbero utilizzare opportune misure di protezione fisica e di resilienza di facilities, possibilmente dotati di certificazioni quali SSAE 16, SOC 2 e ANSI/TIA-942 Tier x level.
- le certificazioni di sicurezza del cloud service provider – lo standard ISO/IEC 27001 garantisce la corretta gestione della riservatezza dei dati e della sicurezza in ambiente cloud.
- l’eventuale utilizzo di tecnologie di archiviazione con separazione (fisica o logica) dei dati;
- l’eventuale utilizzo di sistemi di etichettatura per impedire che i dati vengano replicati in determinati paesi o regioni;
- le modalità di notifica e di supporto in caso di data breach;
- I dati archiviati sui server del provider devono rimanere sempre di proprietà dell’azienda.
- Il fornitore deve essere in grado di dimostrare di imporre adeguati controlli di accesso e garantire che i dati in transito e il caricamento o il trasferimento di file siano protetti con protocolli di crittografia.
- Il fornitore deve sempre concedere la possibilità di scaricare una copia dei dati in qualsiasi momento ed in totale autonomia e dichiarare con la massima trasparenza il luogo fisico dove risiedono i dati.
- Un aspetto di particolare importanza in ambito cloud riguarda la portabilità dei dati. Per portabilità si intende la possibilità di poter migrare applicazioni e dati da un ambiente cloud ad un altro evitando di rimanere ‘bloccati’ in un determinato provider di infrastrutture cloud (vendor lock-in).
