La gestione delle risorse informatiche e il mantenimento della qualità dell’infrastruttura IT rappresentano elementi di strategica importanza per il business d’impresa e sono parte integrante delle finalità e degli obiettivi dell’IT governance [1] aziendale.
Lo standard ISO/IEC 38500: 2015 – Information Technology – Governance of IT for the organization applicabile a qualsiasi tipo di azienda pubblica o privata, definisce la governance dell’IT come parte integrante e strategica della governance organizzativa e fornisce principi guida per l’utilizzo efficace ed efficiente delle tecnologie dell’informazione all’interno delle organizzazioni, sensibilizzando ad una consapevole attuazione dei processi di gestione e delle decisioni relative all’attuale e futuro utilizzo dell’IT.
La scelta sempre più diffusa, come confermato da diversi studi e ricerche di settore, di esternalizzare tutte o parte delle componenti della propria infrastruttura IT è una tipica decisione di IT governance: tramite un accordo di servizio con uno o più fornitori è possibile orientarsi verso una soluzione tecnologica in outsourcing che risulti coerente con le policy aziendali ed economicamente vantaggiosa rispetto alla gestione IT in house di tipo tradizionale. Passare da infrastrutture private e dedicate a infrastrutture in outsourcing permette alle organizzazioni di raggiungere un bilanciamento in termini di costi-benefici a condizione che le prestazioni, la disponibilità e la sicurezza dei sistemi siano garantite secondo certi standard e soddisfino le loro esigenze.
La decisione consapevole di esternalizzare uno o più processi o servizi deve essere sostenuta da una valutazione del rendimento dell’investimento e dai benefici previsti a fronte dei rischi sottesi alla realizzazione e alla transizione: non bisogna incorrere nell’errore di non considerare appieno o quantificare adeguatamente i rischi dell’outsourcing.
A questo proposito sarebbe auspicabile che il management affrontasse con un’adeguata metodologia questo complesso processo decisionale; si potrebbe senz’altro fare riferimento a quello che in letteratura viene definito come il ‘ciclo di vita dell’outsourcing’, rappresentato da una serie di fasi ben distinte, di seguito brevemente descritte:
Figura 1: Esempio di vendor rating per servizi cloud di tipo Iaas (infrastruttura come servizio)[4]
L’impatto del cloud computing sull’IT outsourcing è stato senza dubbio significativo: il cloud computing ha rappresentato un cambiamento importante nel modo in cui le organizzazioni accedono ai servizi IT e ha creato nuove opportunità per i fornitori.
Il National Institute of Standard and Technology (NIST) ha proposto una definizione di cloud computing divenuta diffusamente accettata: ‘Il Cloud Computing è un modello per abilitare, tramite la rete, l’accesso diffuso, agevole e a richiesta, ad un insieme condiviso e configurabile di risorse di elaborazione (ad esempio reti, server, memoria, applicazioni e servizi) che possono essere acquisite e rilasciate rapidamente e con minimo sforzo di gestione o di interazione con il fornitore di servizi.’
Dal punto di vista delle organizzazioni che ne fanno richiesta, il vantaggio evidente è rappresentato dalla possibilità di acquistare solo ciò di cui hanno bisogno in termini di infrastrutture, software e piattaforme: ciò si traduce sostanzialmente nella implementazione di modelli commerciali del tipo pay-as-you-grow.
Si distinguono tre diversi tipi di servizi cloud, ciascuno con diversi tipi di asset:
I servizi in cloud rappresentano una soluzione particolarmente attraente soprattutto per le PMI, poiché i costi di implementazione si rilevano spesso considerevolmente inferiori rispetto a quelli di soluzioni IT tradizionali. Tuttavia questo non rappresenta l’unico vantaggio: gli strumenti di collaboration in cloud, ad esempio, consentono l’accesso ad una pluralità di utenti da postazioni dislocate ovunque e da qualsiasi tipo di dispositivo.
Proprio l’aspetto legato alla distribuzione geografica rappresenta un punto di forza caratteristico dei servizi in cloud: la dislocazione geografica si rivela una efficace misura di mitigazione del rischio ai disastri naturali (alluvioni, catastrofi) e agli attacchi di tipo Dos (Denial of Service), oltre che, ovviamente, a un contenimento dei costi rispetto ad una infrastruttura distribuita di tipo tradizionale che presupporrebbe l’implementazione e la gestione di siti remoti i cui costi di infrastruttura ricadrebbero interamente sull’azienda.
Altra caratteristica del cloud è quella di dover rispondere velocemente a repentine modifiche nell’utilizzo delle risorse o a malfunzionamenti e attacchi informatici: i provider dispongono di grandi data center e di grandi quantità di risorse di riserva (che una PMI non potrebbe permettersi di impiegare in maniera parziale e quindi antieconomica), queste ultime da utilizzare in caso di picchi operativi di particolare intensità o di attacchi di tipo DDos (Distributed Denial of Service, interruzione distribuita del servizio). Non solo: i fornitori cloud implementano nei loro datacenter misure di sicurezza fisiche, i cui costi sarebbero nella maggior parte dei casi insostenibili per un’azienda di piccole dimensioni, capaci di ridurre considerevolmente il rischio di furto o di distruzione accidentale di server, dischi e attrezzature.
Altro aspetto positivo del cloud riguarda l’aggiornamento tempestivo del software: poiché forniscono lo stesso software a tutti i clienti, i fornitori cloud possono automatizzare patch e aggiornamenti, contribuendo così ad aumentare la sicurezza dei sistemi contro il rischio di attacchi che sfruttano le vulnerabilità del software.
Per molte aziende effettuare backup su una vasta gamma di applicazioni e dispositivi e ripristinarli quando necessario può essere complicato e dispendioso in termini di tempo e denaro: i provider cloud possono implementare strumenti per automatizzare la creazione e il test di backup e offrire soluzioni avanzate per il ripristino dei dati. Occorre anche sottolineare che le aziende dispongono generalmente di una quantità di dispositivi mobili particolarmente vulnerabili a furti, perdite, danni fisici, di cui non è semplice ottenere backup tempestivi, né proteggere crittograficamente i contenuti del dispositivo. Il cloud può mitigare alcuni di questi rischi poiché l’uso dei servizi cloud consente di ridurre la quantità di dati memorizzati sui dispositivi finali (ad esempio, l’utilizzo dell’email basata su cloud consente di ridurre la quantità di dati aziendali sui dispositivi degli utenti finali).
Per portabilità si intende la possibilità di poter migrare applicazioni e dati da un ambiente cloud ad un altro evitando di rimanere ‘bloccati’ in un determinato provider di infrastrutture cloud (vendor lock-in[6])
Per un cliente la possibilità di recuperare i dati delle applicazioni da un provider di servizi cloud e di farli confluire in un’applicazione analoga ospitata da un provider diverso riduce il rischio di dipendenza a lungo termine ma presuppone una standardizzazione dei formati.
Proprio a questo proposito, nelle ‘Linee-guida sul diritto alla “portabilità dei dati[7]” il Gruppo di Lavoro ex art. 29 (WP 29) fornisce indicazioni sull’interpretazione e sull’attuazione del diritto alla portabilità dei dati introdotto dal RGPD incoraggiando con veemenza accordi di collaborazione fra provider e associazioni di categoria per la definizione e lo sviluppo di standard e formati interoperabili condivisi. Nelle stesse linee guida viene suggerito che ‘qualora non vi siano formati di impiego comune in un determinato settore di attività o in un determinato contesto, i titolari dovrebbero fornire i dati personali utilizzando formati aperti di impiego comune (per esempio: XML, JSON, CSV, ecc.) unitamente a metadati utili, al miglior livello possibile di granularità, mantenendo un livello elevato di astrazione. In tal senso, si dovrebbero utilizzare idonei metadati così da descrivere con precisione il significato delle informazioni oggetto di transazione. I metadati dovrebbero essere sufficienti a consentire la funzionalità e il riutilizzo dei dati, ovviamente senza rivelare segreti industriali.‘
Il rischio della perdita del controllo sui dati da parte degli utenti dei servizi cloud rappresenta una grave minaccia per la riservatezza e i principi della privacy.
Proprio nell’ambito della 31ma Conferenza Internazionale[8] delle autorità di protezione dati e privacy tenutasi a Madrid nel 2009 , le Autorità Garanti di cinquanta Paesi, data la necessità di definire una serie di principi, standard e procedure a garanzia della tutela della privacy come finalità propria di qualunque ordinamento giuridico, hanno approvato una risoluzione in materia di trattamento dei dati personali finalizzata ad una tutela della privacy standardizzata a livello internazionale e ad agevolare i flussi di dati propri di un mondo globalizzato.
La Risoluzione di Madrid si compone di distinte sezioni che trattano i principi fondamentali, la legittimità del trattamento, i diritti dell’interessato, la sicurezza, l’osservanza e i controlli.
Tali aspetti vengono ripresi e implementati nello standard ISO/IEC 27018 (Codice di condotta per la protezione delle PII (Personally Identifiable Information) nei servizi di public cloud per i cloud provider), che di fatto rappresenta un ottimo strumento di riferimento per la corretta gestione della privacy e della sicurezza in ambiente cloud su rete pubblica.
I principi fondamentali della Risoluzione di Madrid comprendono, tra gli altri:
I diritti dell’interessato contemplati nella Risoluzione di Madrid riguardano, tra gli altri, il diritto di accesso e i diritti di rettifica e cancellazione. Nello specifico:
Per quanto riguarda le misure di sicurezza, la Risoluzione stabilisce in linea generale che il titolare del trattamento ed altri eventuali fornitori di servizi devono mantenere i dati personali riservati in ogni fase del trattamento e proteggerli con misure tecniche e organizzative adeguate, nonché informare tempestivamente gli interessati in caso di violazioni di sicurezza che possano intaccare in maniera significativa i loro diritti.
Per quanto riguarda la sezione della Risoluzione dedicata ai controlli è opportuno evidenziare il richiamo al principio di responsabilità, secondo il quale il titolare del trattamento è responsabile dei danni patrimoniali e non causati agli interessati derivanti dal trattamento non a norma di dati personali (responsabilità che lascia al titolare il diritto ad intraprendere eventuali azioni nei confronti dei fornitori di servizi coinvolti in qualsiasi fase di tale trattamento).
Lo standard ISO/IEC 27018 riprende gli aspetti sopra esposti dando precise istruzioni, linee guida e controlli per il trattamento di dati personali in ambiente cloud su rete pubblica; di seguito una breve sintesi:
Per quanto riguarda l’aspetto della sicurezza, lo standard ISO in esame suggerisce una corposa serie di misure a protezione dei dati personali in ambienti cloud, di seguito sinteticamente elencate:
Preme evidenziare che, pur rappresentando una eccellente guida per la gestione e il controllo di servizi cloud, lo standard ISO/IEC 27018 non è sostitutivo o contrapposto allo ISO/IEC 27001 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) che notoriamente include aspetti relativi alla sicurezza logica, fisica ed organizzativa dei sistemi informatici; l’adozione congiunta dei due standard, anzi, rappresenterebbe una soluzione ottimale per il trattamento a norma dei dati personali su sistemi distribuiti sia sotto l’aspetto operativo che di compliance.
Il GDPR impone ad aziende e PA conformarsi al principio di accountability attuando buone pratiche e muovendosi con spirito collaborativo e proattivo verso misure tecniche e organizzative sempre più idonee a garantire un’adeguata protezione dei dati personali. Anche ai sensi dell’art. 35 si rendono necessari in ambito cloud ulteriori approfondimenti in merito alla valutazione d’impatto e all’adeguatezza delle misure di protezione di dati che sono per loro stessa natura fuori dal controllo diretto dell’utente, nonostante la scelta oculata e monitorata dei provider: in caso di violazione dei dati e indipendentemente dall’imputazione delle responsabilità, l’organizzazione ne potrebbe risentire pesantemente a livello di immagine e di reputazione aziendale. E’ per questo che la scelta di esternalizzare processi e servizi in ambito IT deve essere più che mai accompagnata da una decisione consapevole del management, sorretta da analisi strategiche e di dettaglio molto accurate e da un’attività di auditing svolta da risorse adeguatamente preparate e sensibili a recepire tempestivamente input e segnali che opportunamente valutati potrebbero condurre a rivedere le scelte iniziali.
[1] ‘L’IT Governance può essere definita come la capacità organizzativa esercitata dal consiglio, dai manager esecutivi e dai manager IT di controllare la formulazione e l’implementazione di una strategia IT e di assicurare un’integrazione tra Business e IT’ – Wim Van Grembergen
[2] L’ordinamento giuridico italiano inquadra il contratto di outsourcing nell’ambito dei contratti atipici che vengono diffusamente posti in essere nonostante la mancanza di un modello contrattuale regolamentato. Può essere assimilato al contratto di appalto di servizi
[3] Auditing è un termine che in genere fa riferimento ad un processo di valutazione pianificata, indipendente e sistematica di un sistema, prodotto, attività, ecc. Si tratta di un concetto di assicurazione qualità (Fonte: Wikipedia)
[4] Fonte: Gartner Research – https://www.gartner.com/reviews/market/public-cloud-iaas
[5] Fonte: NIST Cloud Computing Reference Architecture – Special Publication 500-92
[6] Le seguenti condizioni rappresentano tipici casi di vendor lock-in (fonte: Wikipedia):
[7] Versione emendata e adottata il 5 aprile 2017
[8] http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1763110
A cura di: Anna Cardetta
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…