Sezione I "Introduzione"
Per chi abbiamo scritto questo libro
Fino ad alcuni anni fa quando si accennava al Cloud si parlava più delle
giustificazioni per «evitarlo» che dei vantaggi nell’«adottarlo». Dal 2012
si è assistito ad un radicale cambiamento di paradigma: Il focus non più
sulle minacce ma sulle opportunità. Il trend di sviluppo del mercato dei servizi cloud è ormai
inarrestabile, dal risparmio sui costi alle revenues
addizionali realizzabili con questi servizi, nelle organizzazioni di tutti
settori e di tutte le dimensioni, del settore privato e della PA. La
società di ricerca Forrester ha predetto che entro il 2018 oltre il 50%
delle grandi organizzazioni globali utilizzerà almeno una piattaforma
pubblica in Cloud per abilitare i propri processi di trasformazione
digitale e per rispondere al meglio ai propri clienti. La tipologia dei
Servizi Cloud impone peraltro l'obbligo di focalizzare l’attenzione dei
decison makers aziendali su alcuni aspetti dei servizi Cloud che devono essere
attentamente valutati, in particolare sicurezza, conformità e
contratti.
Si è pertanto sentita l’opportunità, da parte di Oracle Community for
Security, di realizzare un documento che possa costituire un concreto aiuto alle
aziende che adottano o pensano di adottare servizi Cloud, e a tutte le
figure professionali coinvolte, a vario titolo, nei Servizi Cloud. Il Cloud può interessare più tipologie di persone:
● Il management dell’organizzazione che già utilizza o pensa di valutare in
futuro l’adozione dei servizi cloud
● Il management della funzione aziendale Sistemi informativi, che, d’intesa
con il Vertice aziendale, deve valutare le opportunità e i rischi del cloud
● I buyer dedicati alla negoziazione contrattuale con i fornitori
● Gli specialisti ICT che operano in azienda, per i quali l’opzione cloud
costituisce un’importante e ineludibile alternativa tecnico-economica da
approfondire
● Il management e gli esperti di Security
● Il management, gli uomini di marketing e gli specialisti ICT che operano
presso i fornitori dei servizi cloud che devono individuare le motivazioni
reali che possono indurre il management e gli specialisti ICT
dell’organizzazione a scegliere l’opzione cloud
● Il consulente di direzione per i quali l’opzione cloud può rappresentare
un’importante componente di advisory da proporre alle aziende clienti
● I docenti del “sistema formativo” (Università, Associazioni
professionali, Scuole di formazione, etc), che non possono esimersi dalla
conoscenza della tematica Cloud, nelle sue diverse componenti tecnologiche,
organizzative, economiche, contrattuali e di Compliance
I vantaggi del Cloud
Le potenziali criticità considerate, che inizialmente avevano frenato lo
sviluppo del mercato in alcuni settori, sono state progressivamente
superate, ma devono in ogni caso essere attentamente valutate per
consentire di “rinforzare” la fiducia del mercato sui servizi cloud, e
per poter realizzare i notevoli vantaggi che comporta l’adozione di servizi
Cloud: risparmio, costi variabili, minori investimenti in capitale;
maggiore velocità ed agilità del business; accesso a servizi ICT di ultima
generazione.
Caratteristiche dei modelli Cloud
Le caratteristiche essenziali dei
Servizi Cloud
sono: Self-service su richiesta, Ampio accesso in rete, Condivisione delle
risorse, Elasticità rapida, Servizio misurato. I Modelli di servizio presenti nel Cloud sono SaaS /
Software as-a-service, PaaS / Platform as-a-service, IaaS / Infrastructure
as-a-service. I Modelli di distribuzione consistono in
Public Cloud / cloud pubblico, Private Cloud / cloud privato, Community
Cloud, Hybrid Cloud / cloud ibrido.
Rischi del Cloud e mitigazioni
L’utilizzo di servizi Cloud, siano essi SaaS, IaaS o PaaS, espone
l’organizzazione a vecchi e nuovi rischi
che devono necessariamente essere compresi e valutati dall’organizzazione
per poter predisporre le opportune misure di mitigazione. I rischi relativi
all’utilizzo del Cloud non sono esclusivamente tecnologici, ma ricadono
anche in ambito di conformità e contrattuale. Nella Sezione I/Rischi del
Cloud e mitigazioni è riportato un catalogo dei maggiori rischi relativi ai
servizi Cloud, suddivisi in 12 macro categorie, e un set di attività di
mitigazioni orientato alla creazione di uno standard per la gestione del
rischio Cloud. Tale catalogo, realizzato dalla Associazione CSA riporta sia
in cosa consistono i differenti rischi tecnologici, sia quali dovrebbero
essere i punti di attenzione su cui le organizzazioni dovrebbero
concentrarsi.
Se non fai le cose per bene
A fronte della ormai pervasiva adozione di tecnologie infrastrutturali ed
applicative Cloud sono aumentati gli episodi di attacchi e conseguenti violazioni
che hanno avuto come oggetto i fornitori di tali servizi tecnologici. La
stampa ha divulgato, soprattutto negli ultimi anni, storie di attacchi
informatici ai danni di aziende enterprise e piccole media imprese
utilizzando vettori e modalità sempre nuovi e avanzati. Nella Sezione II/Se
non fai le cose per bene è riportata una Tabella che elenca i principali
incidenti di sicurezza di pubblico dominio registrati a partire dal mese di
giugno 2017, e che hanno interessato anche alcuni Cloud Service Provider
leader di mercato a livello internazionale. Le cause di una violazione
informatica possono essere di vario genere e la responsabilità può essere
sia dell’utente finale come del Cloud Service Provider.
I clienti finali dovranno conoscere sempre più nel dettaglio come
funzionano le tecnologie IaaS, PaaS e SaaS
e raggiungere quel grado di conoscenza di dettaglio che si è oramai
raggiunto nel mondo on-premises tradizionale.
I Cloud Service Provider dovranno continuamente definire e verificare i
processi e le tecnologie utilizzate nell’erogazione dei servizi
, assicurarsi che il personale sia addestrato ai compiti assegnati e che ci
sia una
costante verifica dell’interazione tra processi persone e tecnologie.
Evoluzione dei mestieri in conseguenza al Cloud
Il nuovo paradigma Cloud non potrà non influire sulle professioni dedicate
all’ICT, in particolare sui ruoli diChief Information Security Officer - CISO,Chief Information Officer – CIO e Chief Security Officer - CSO, ruoli aziendali che
verranno ridisegnati sulla base dello sviluppo delle tecnologie Cloud e si
assisterà sempre più, nei prossimi anni, al fiorire di competenze
tecnico-manageriali differenti, al fine di poter gestire con efficacia i
cambiamenti indotti dal Cloud
minimizzando i rischi aziendali relativi allo
sviluppo del business e alla sicurezza delle informazioni.
Sezione II “Sicurezza delle informazioni”
Caratteristiche di security relative al Cloud
Quando si parla di sicurezza nel Cloud, bisogna considerare le modalità con
le quali si usufruisce del Cloud (IaaS, PaaS, SaaS) in quanto le componenti
di processi, persone e tecnologie possono assumere una importanza diversa sulla base della tipologia di servizio. Per quento
riguarda le competenze necessarie nell'organizzazione cliente di servizi
cloud, in caso di IaaS (Infrastructure as-a-service) il
personale IT dovrà essere istruito soprattutto su tematiche relative alla
sicurezza relativa alla virtualizzazione e alle infrastrutture di rete;
in caso di servizi di tipo PaaS (Platform as-a-service) il
personale IT dovrà essere istruito su tematiche relative allo sviluppo sicuro di applicazioni in
ambiente Cloud; in caso di servizi SaaS (Software
as-a-service), invece, si fa più affidamento ai livelli di sicurezza di ciò che è stato sviluppato dal fornitore. La
definizione e l’erogazione di piani di sensibilizzazione
del personale dell’organizzazione cliente, IT e Utenti, sono di
fondamentale importanza per proteggere l’organizzazione da minacce cyber presenti nei
servizi cloud. Per quanto relativo alle Tecnologie, si
dovranno affrontare le
tematiche di autenticazione e autorizzazione, gestione e monitoraggio,
reporting e verifica
al fine di proteggere e monitorare l'accesso alle informazioni presenti in
Cloud. Per quanto relativo ai Processi, il focus è sulla
Governance e sull’Operation dei servizi Cloud.
Shared Responsibility Model
Si stanno sperimentando sul mercato nuove fattispecie contrattuali per i Servizi cloud,
identificate come Shared Responsibility Model, che si articola nelle seguenti macro-componenti: Attori
Responsabili, Domini di Controllo, Livello di Maturità. In pratica
si condividono fra cliente e fornitore ruoli e responsabilità degli
stessi nella erogazione dei servizi.
Verifica della sicurezza nei Servizi Cloud
Sono suggerite le Verifiche della sicurezza relativa ai Servizi Cloud
erogati dal Provider, a cura del committenteprima della stipula del Contratto e durante la erogazione del servizio, prevedendo anche
controlli di sicurezza relativi alle attività da svolgere a cura del
committente
Crittografia
Sono indicate le implicazioni della crittografia dei dati
sui Servizi cloud, la cui presenza è particolarmente richiesta, in
ottemperanza al Quadro normativo, da banche, assicurazioni, ospedali ed
enti governativi che devono soddisfare i requisiti di integrità e
riservatezza dei dati critici. In termini di conformità normativa, si
consideri che per il regolamento europeo sulla protezione dei dati
personali (GDPR), il titolare e il responsabile del trattamento dei dati
hanno il compito di ridurre i rischi relativi ai trattamenti mediante
l’attuazione di idonee contromisure. La crittografia è una delle misure
suggerite e esplicitamente indicate. In questi casi le tecnologie di
crittografia possono venire in aiuto alle organizzazioni perché aggiungono
uno strato di sicurezza che affronta proprio quelle esigenze, garantendo la
protezione delle informazioni sia durante il loro transito verso il Cloud
sia durante la loro memorizzazione ed elaborazione nel Cloud.
Gestione delle Identità e degli Accessi
Sono indicati i suggerimenti relativi alla corretta impostazione del Sistema di Identity Management,
già di per sè complesso (provisioning delle identità, gestione del ciclo di
vita delle utenze, accessi ai sistemi ed alle applicazioni, implicazioni
organizzative e di governance), che diventa ancora più critico quando viene
esteso ad applicazioni e infrastrutture Cloud, in quanto la gestione delle
identità non è più completamente in mano all’organizzazione, ma coinvolge
anche i fornitori di servizi Cloud. Infatti i servizi Cloud sono
generalmente raggiungibili via Internet e uno dei maggiori rischi è oggi il
furto di credenziali, soprattutto di quelle degli utenti dotati di
privilegi amministrativi, motivo per cui, per un utilizzo aziendale di
servizi cloud, si ritiene che la modalità di autenticazione tradizionale,
attraverso username e password, non è più sufficiente a garantire la
sicurezza dei dati.
Shadow IT
L’offerta crescente di servizi Cloud in modalità SaaS ha contribuito
notevolmente
all’espansione e alla diffusione del fenomeno dello shadow IT
, cioè l’acquisto di servizi informatici effettuati direttamente dalle
unità organizzative di business, senza coinvolgere la funzione addetta
all’IT, scelta attuata per la difficoltà delle strutture IT in alcune
organizzazioni nello stare al passo con le esigenze delle strutture di
business.
Possono quindi essere sottovalutate le possibili implicazioni derivanti
dal posizionare dati in contenitori non sempre controllati o
controllabili dal punto di vista delle garanzie di sicurezza
necessarie in rapporto alla tipologia di informazioni che trattano.
Sono quindi da considerare i rischi legati agli aspetti di conformità,
alla maggiore esposizione alla violazione e alla perdita di dati, così come
alle possibili inefficienze nei processi di gestione.
Intelligenza artificiale e Machine learning
Dal punto di vista della sicurezza, un’infrastruttura Cloud presenta
peculiarità e tratti distintivi rispetto ad altri beni da proteggere. Al
riguardo si stanno sperimentando nuovi approcci basati sull’ Intelligenza artificiale e sul Machine learning, che
offrono un grado di flessibilità senz'altro superiore ad un rigido sistema
basato su regole, come già illustrato nel documento 2017 della Community
sul continuous monitoring. Questo significa ad esempio garantire la
sicurezza dei dati e delle applicazioni tramite delle
policy che non soffochino eccessivamente le esigenze del business,
potendo disporre di significative moli di dati da analizzare
, ad esempio .i log degli host; i log dell'attività di rete; i log delle
applicazioni; i log di accesso alle API (Application program interface) di
terze parti; i log di continuous integration/deployment delle applicazioni
per ogni ciclo di build e release. A questi si possono facilmente
aggiungere ulteriori dati, a seconda delle caratteristiche del Cloud in
esame. L’introduzione e l’adozione di queste tecnologie e soluzioni devono
essere accompagnate da considerazioni in merito alle competenze presenti in
organizzazione e alla scelta delle soluzioni più semplici da usare e che
richiedono minor intervento umano.
Sezione III “Contratti”
Introduzione sui contratti
Deve essere riservata una rilevante attenzione nella stipula del
contratto, ed è più che giustificato il tempo che gli viene dedicato.
Asimmetria del potere negoziale del rapporto contrattuale
La vera peculiarità di tale tipologia di contratto è la circostanza che
l’utente non determina in alcun modo i contenuti ed il livello del servizio
che acquista, ma può solo scegliere tra i diversi soggetti che offrono il
servizio sul mercato. In sostanza
l’autonomia contrattuale del soggetto che stipula attiene non tanto
alla possibilità di decidere i contenuti del contratto quanto alla
possibilità di scegliere tra i diversi contratti ed i diversi
contraenti sul mercato
. Ne deriva dunque che il principio di autonomia contrattuale dell’utente
risulta rispettato solo se il fornitore rispetti pienamente il principio di
trasparenza contrattuale: tale principio, permettendo all’utente una
analisi della clausole unilateralmente predisposte dal fornitore, gli
consente di capire le eventuali differenze ed operare quindi una scelta
consapevole.
Struttura e contenuti del contratto
Al di là degli aspetti più propriamente giuridico-legali il
contratto dovrebbe quantomeno comprendere contenuti relativi a:
● definizione puntuale del servizio e del suo perimetro;
● ruoli e responsabilità dei contraenti, in particolare
gli aspetti organizzativi derivanti dallo Shared Responsibility Model,
gestione delle catene di fornitura;
● modalità di erogazione del servizio, cioè la sua gestione manageriale;
● modalità di gestione operativa, cioè il controllo del
servizio, sia esso immediato (monitoring) sia esso differito (logging,
auditing), la gestione degli incidenti;
● livelli di servizio prestazionali (SLA) e key
performance indicators (KPI), loro modalità di misurazione, sanzioni
associate nel caso di loro mancato rispetto, forensics;
● conformità a best practices, normative e standard de
jure e de facto, nonché certificazioni richieste;
● gestione della terminazione del contratto;
● (eventualmente) regole per la modifica del contratto stesso.
Elementi contrattuali di maggior rilievo
Gli elementi contrattuali da prevedere devono poter gestire le differenti
fasi di utilizzo del servizio Cloud dalla sua adozione, l’esercizio della
soluzione Cloud, fino alla sua eventuale dismissione.
Diritto di Audit
Il Reg. Ue 2016/679 (GDPR), art. 28, stabilisce il diritto da parte del
titolare di effettuare audit nei confronti dei responsabili allo scopo di
garantirsi il rispetto dei principi di tutela del dati. Inoltre, in base
all’art. 28 comma 4 tale diritto si estende automaticamente anche nei
confronti dei subfornitori/sub responsabili. Tenuto conto che sotto il
profilo della protezione dei dati il provider di Cloud riveste senza dubbio
il ruolo di responsabile ex art. 28, appare pacifico che
oggi, indipendentemente dalle previsioni contrattuali e dalla “forza
contrattuale” delle parti, il titolare è, giuridicamente, posto nella
condizione di effettuare un audit relativo alla protezione dei dati.
Il titolare può anche prendere in considerazione come elemento di
valutazione la presenza di certificazioni conseguite dal responsabile.
Digital forensics nel Cloud
L’attività ispettiva condotta dalle Pubbliche Autorità
sia in ambito amministrativo sia in ambito penale con riferimento ai
documenti a rilevanza tributaria e/o legale di un’impresa, archiviati e
conservati
in ambienti Cloud, può presentare aspetti significativi di complessità
e di relativa novità, poiché le procedure tradizionali e consolidate da
seguire per le attività ispettive non sono applicabili nell’ambito Cloud.
Al riguardo si rimanda alla lettura della Sezione III/Digital forensics nel
Cloud, che approfondisce una materia che presenta ancora molti aspetti di
indeterminatezza.
Filiere di fornitura
Il ricorso a filiere di fornitura, costituisce una delle
caratteristiche principali e connaturate all’offerta di servizi Cloud
. Con riferimento ai servizi che hanno ad oggetto il trattamento di dati
personali, la materia del subappalto è stata resa più trasparente e
controllabile grazie alle previsioni introdotte dal nuovo Regolamento
Generale sulla protezione dei dati (Regolamento UE 2016/679. Alla luce di
quanto disposto dall’art. 28 del Regolamento, infatti, il Cloud provider – che tipicamente agisce quale
responsabile del trattamento –
non potrà avvalersi di ulteriori sub-responsabili senza prima aver
ricevuto apposita autorizzazione scritta in tal senso da parte del
cliente.
Comunicazione dei data breach
Il GDPR, ha generalizzato l’obbligo di notificazione all’Autorità Garante
delle violazioni di sicurezza che riguardino dati personali. In ordine alla
gestione pratica dei data breach, è imprescindibilepredisporre, in ossequio al principio di accountability,
idonei sistemi e processi di individuazione e di immediato contenimento
delle violazioni.
Il Cloud Service Provider deve affrontare i profili della
notificazione) dei data breach sotto due prospettive differenti,
poiché assume quasi invariabilmente sia la veste di titolare del
trattamento, che di responsabile ex art. 28 del GDPR.
Il responsabile (nel caso concreto il Cloud Service Provider) deve, una
volta venuto a conoscenza della violazione, comunicare la stessa ”senza
ingiustificato ritardo” al titolare o ai titolari i cui trattamenti
siano stati oggetto della violazione.
E’ quindi importantissimo che il data protection agreement ex art.
28 GDPR contenga delle norme che regolino in maniera precisa e puntuale gli
aspetti relativi alle violazioni di dati personali.
Clausole penali e SLA
Un contratto di servizio Cloud deve includere necessariamente
misure della qualità del servizio erogato, le penali qualora si
riscontrino perdite di performance
del servizio e le clausole che permettano la rinegoziazione delle
condizioni contrattuali qualora entrambe le parti o anche una di esse
riscontri gravi negligenze o danni ai propri obiettivi di business. La
presenza di misure quantitative, calcolate in modo
condiviso con processi automatici, qualifica il servizio
fornito dal Cloud provider permettendo alle parti di poter dialogare,
confrontarsi facendo convergere i propri obiettivi. In presenza di
contenziosi le parti potranno utilizzare le informazioni raccolte per
quantificare i danni subiti dal cliente o i costi aggiuntivi a carico del
Cloud provider. Questo può avvenire se esiste un modello di controllo che permetta sia l’attivazione di
penali e il loro eventuale reintegro, garantendo e forzando la corretta
misura della qualità del servizio erogato.
E’ pertanto fondamentale definire appositi SLA (Service Level
agreement) e PKI (Process Key Indicator) relativi alla Sicurezza delle
informazioni
presso il Cloud Service Provider e presso il Committente. Tali indicatori,
oltre che essere una leva gestionale importante per il Vertice aziendale,
presentano sempre più forte rilevanza per gli Stakeholders
dell’organizzazione e per le Autorità di controllo.
Sezione IV “Conformità”
La conformità negli ultimi anni
Negli ultimi anni, abbiamo assistito ad un incremento delle regole europee (in prevalenza Regolamenti
e non Direttive, come nel caso di GDPR) e nazionali che le
aziende devono seguire. Fra le principali caratteristiche del nuovo quadro
normativo la necessità di
fronteggiare l’aumento degli incidenti di sicurezza informatica
,
la tutela degli interessi di soggetti terzi, la comunanza di misure di
sicurezza per la protezione dei beni valide per soggetti terzi e per
l’organizzazione, lo sviluppo del mercato unico digitale
, per la libera circolazione di beni, persone e servizi e per la protezione
del mercato, la presenza di Norme con un elevato livello di astrazione, per
favorire trasparenza e durata nel tempo delle normative. Itemi più ricorrenti delle nuove normative riguardano laAnalisi del rischio, laResponsabilizzazione (accountability), le Valutazioni di terze parti, i
Trasferimenti di dati all’estero, le Filiere di fornitura e il Diritto
di audit.
Analisi del Rischio
L’analisi dei rischi è l’attività con la quale si quantificano i rischi in
un determinato ambito al fine di valutare se tali rischi rientrino in
livelli di tollerabilità o se necessario definire le contromisure
necessarie a ridurre gli stessi ad un livello considerato accettabile. La
definizione più utilizzata nelle metodologie di analisi dei rischi
identifica il rischio come prodotto fra impatto [danno] e probabilità
che un evento pericoloso si realizzi
. Sono numerose le recenti normative che richiedono un approccio alla
conformità basato su una valutazione del rischio, motivo per cui le
organizzazioni stanno seguendo la tendenza di effettuare un’analisi dei
rischi e considerarla esaustiva per tutte le normative. Questo è ovviamente
un grave errore in quanto i beni per i quali si sta valutando il rischio
cambiano; pertanto la metodologia può essere la stessa
(anche al fine di poter comparare i risultati delle analisi)
ma le minacce, gli impatti e le possibili contromisure devono essere
contestualizzate rispetto al rischio che si sta valutando.
Trasferimento dei dati all'estero
Relativamente ai Trasferimento dei dati all'estero, la
vigente normativa sulla protezione dei dati personali (Regolamento UE
679/2016 o “GDPR”) distingue essenzialmente
due casi: i trasferimenti verso Paesi appartenenti all’Unione Europea o
alla European Economic Area e quelli verso Paesi non appartenenti alla
UE
.
Nel primo caso (Paesi UE), il GDPR non pone limitazioni né divieti al
trasferimento di dati personali,
per cui non sono previsti ulteriori adempimenti rispetto a quelli
applicabili ai trattamenti effettuati in uno Stato membro (ad esempio la
designazione a responsabile del trattamento nei confronti di un fornitore).
Il trasferimento di dati personali verso Paesi non appartenenti alla UE
o alla EEA, invece, è consentito solo in presenza di adeguate garanzie
riportate nel Sezione IV/ Trasferimento dei dati all’estero. Un caso
particolare è rappresentato dai trasferimenti di dati personali dalla UE
verso gli USA. Al riguardo la
Commissione Europea ed il Governo USA hanno elaborato il Privacy Shield
Framework, che sostituisce il precedente accordo del 2000 denominato
“Safe Harbor”, non più applicabile, in quanto dichiarato invalido da
parte della Corte di Giustizia Europea.
Gli Impatti GDPR
L’introduzione del GDPR introduce numerosi nuovi adempimenti
sia lato utenti e clienti dei servizi Cloud, sia da parte dei soggetti
fornitori di tali servizi.
In particolare il cliente dei servizi Cloud opererà quale titolare o
responsabile del trattamento, mentre il fornitore dei servizi opererà di
norma quale responsabile o sub-responsabile del trattamento. Nel caso in
cui uno dei due soggetti sia collocato al di fuori dell’UE dovrà designare
un rappresentante all’interno dell’UE (tale obbligo in precedenza
riguardava il solo titolare).
Difficilmente, a differenza di quanto accadeva con il D.Lgs 196/03, il
fornitore di servizi Cloud potrà operare con un ruolo diverso da quello
di responsabile del trattamento.
Avere il ruolo di responsabile o sub-responsabile costituisce in realtà un
grosso vantaggio per i fornitori di servizi Cloud.
Il rapporto tra cliente (titolare o responsabile) e fornitore
(responsabile o sub-responsabile) deve basarsi su un contratto.
Le condizioni cui deve sottostare un responsabile (o sub-responsabile) di
trattamento sono indicate nell’art. 28 del GDPR e comprendono fra gli
altri:
● l’adozione di adeguate misure di sicurezza;
● il supporto al titolare in caso di violazione dei dati
(data breach);
● il supporto al titolare nel rispondere alle richieste dei soggetti interessati;
● la
compilazione di un registro di trattamento per ognuno dei titolari per
cui svolge un trattamento.
Compliance NIS
I fornitori di servizi di Cloud computing rientrano fra quelli che sono
soggetti al rispetto della Direttiva (UE) 2016/1148 del Parlamento europeo
e del Consiglio del 6 luglio 2016 recante misure per un livello comune
elevato di sicurezza delle reti e dei sistemi informativi nell'Unione
, cosiddetta Direttiva NIS e della relativa norma di
recepimento nazionale. La normativa impone ai fornitori di servizi di Cloud
computing un insieme di obblighi da rispettare in termini
di misure tecniche e organizzative che, tenuto conto delle conoscenze più
aggiornate in materia,
assicurino un livello di sicurezza della rete e del sistema informativo
adeguato e proporzionato al rischio
.
I fornitori di servizi Cloud sono altresì obbligati a notificare al
CSIRT nazionale
e, per conoscenza, all’autorità competente NIS di riferimento (ossia, in
Italia, al Ministero dello sviluppo economico),
qualsiasi incidente avente un impatto rilevante sui servizi da loro
offerti e senza indebito ritardo.
EBA Cloud Adoption Guidelines
A dicembre 2017 l’EBA (autorità bancaria europea) ha emesso un documento dal titolo “
Final Report Recommendations on outsourcing to Cloud service
providers”.
In particolare l’uso del Cloud è normato ma non è (ovviamente) vietato. Il
tema della localizzazione all’estero, in EU o al di fuori dell’Unione, è
trattato all’interno dei fattori di rischio.
L’analisi del rischio, l’assessment e l’accountability sono al
centro dei requisiti per l’adozione del Cloud, unitamente agli standard
di sicurezza da adottare.
Cloud Compliance
Le aziende clienti dei Servizi Cloud dovrebbero inserire
accordi sul livello di servizio (SLA) o chiedere ai fornitori di
servizi Cloud di soddisfare obiettivi di controllo e indicatori di
prestazioni
. In ogni caso l'elemento chiave è la fiducia nel Provider
, che è un componente fondamentale nel Cloud computing. Una buona regola è
quella di
selezionare Provider che hanno una storia significativa nel settore dei
servizi Cloud
e possono fornire solidi riferimenti commerciali. Inoltre è fondamentale
esplicitare a livello contrattuale le soluzioni in atto presso il Provider
relative alle misure di sicurezza, alle procedure di controllo, alle certificazioni conseguite
da provider, ecc.
Sezione V “Best practices e punti di riferimento”
Best practices
A livello generale i riferimenti agli standard internazionali in materia di
sicurezza delle informazioni sono essenzialmente due, ovvero l’Information
Standards Organization (ISO) ed il National Institute of Standards and
Technologies americano (NIST). Il primo, a partire dalla norma di base ISO/IEC 27001 relativa ai “Sistemi di gestione della
sicurezza delle informazioni” ha derivato due ulteriori standard ovvero ISO 27017, relativo ai controlli di sicurezza da adottare
per i sistemi in Cloud ed ISO 27018, relativo alla
protezione delle informazioni personali (PII, ovvero Personal Identifiable
Informations nell’accezione internazionale) in tali ambienti. Dal suo canto
il NIST ha pubblicato un nutrito gruppo di linee guida in materia contenuto
in una decina di pubblicazioni, codificate come “Special Publications”,
appartenenti alle serie 500 ed 800, che verranno referenziate nei capitoli
successivi.
Da segnalare il rilevante apporto specifico alla tematica rappresentato
dall’organizzazione internazionale Cloud Security Alliance (CSA) che ha
pubblicato il CSA Cloud Control Matrix,
ovvero lo schema di riferimento cui si devono adeguare i fornitori di
servizi Cloud che intendono sottoporre i servizi offerti alla clientela
rispetto alla norma di certificazione CSA STAR. Si rimanda alla lettura del
Sezione V della pubblicazione la descrizione delle best practices citate,
che presentano per il Cloud Service provider una importante leva di
accountability e di qualificazione sul mercato. Si rimanda alla lettura del
Sezione V/Best Practices della Pubblicazione la descrizione dei contenuti
delle Best Practices citate, che presentano per il Cloud Service provider
un importante elemento di accountability ed una leva rilevante di
qualificazione del Provider.
Iniziative di standardizzazione europea
Le iniziative di standardizzazione europea sono parte integrante del
programma “Unleashing the potential of Cloud computing in Europe”, avviato
dalla CE nel 2012, che a sua volta si inserisce nell’ambito della “Digital
Single Market Strategy” perseguita dalle istituzioni europee. Fra le
iniziative più significative per il mercato dei Servizi Cloud:
● Cloud Service Level Agreements Standardization Guidelines;
● Code of conduct for Cloud Services Providers.
Si rimanda alla lettura del Sezione V/Iniziative di standardizzazione
europea della Pubblicazione la descrizione delle Iniziative citate, che
presentano per il Cloud Service provider una importante riferimento
metodologico in logica di condizioni contrattuali e di trasparenza dei
servizi erogati dal Provider.
Contratti quadro di AGID
L’Agenzia per l’Italia Digitale (AgID), in collaborazione con il Team per
la Trasformazione Digitale, ha realizzato il sito informativo Cloud.italia.it con lo scopo
di rendere pubblica la strategia di adozione del Cloud Computing nella
Pubblica Amministrazione (PA) e raccogliere informazioni e strumenti utili
alla realizzazione di tale strategia. A partire da lunedì 23/07/2018 è
possibile richiedere la qualificazione di Cloud Service Provider per la PA
ed accedere al Marketplace dei servizi qualificati, mediante la piattaforma
temporanea di qualificazione messa a disposizione da AgID. Si rimanda alla
lettura del Sezione V/Contratti quadro di Agid della Pubblicazione la
descrizione dei contenuti dei Contratti quadro di AGID, che costituiscono
per i Cloud Service Provider che operano per la PA un riferimento
imprescindibile.
Codici di condotta Cloud GDPR e CSA Privacy level Agreement
Il tema dei Codici di condotta
, previsti dall’art. 40 GDPR, è un tema particolarmente interessante per il Cloud computing. In
linea generale, questi servono, infatti,
a facilitare l’effettiva applicazione delle disposizioni del GDPR
da parte di un gruppo di enti o di persone; nello stesso tempopossono servire a dimostrare, in virtù del principio dell’ accountability, la conformità del trattamento operato dal
titolare dei dati o del responsabile in ordine all’esatta individuazione
dei rischi connessi ai trattamenti. Si deve, per altro, da subito precisare
che, al momento della stesura di queste note, non esiste ancora alcun
Codice di condotta approvato. Al riguardo è utile ricordare l’esistenza di
interessanti proposte, descritte nel :Sezione V/Codici di condotta della
Pubblicazione.
● CISPE: Cloud Infrastructure Service Provider in Europe;
● CSA: Code of Conduct for GDPR Compliance;
● EuCoC: EU Cloud Code of Conduct.
E' possibile misurare?
L’utilizzo di metriche quantitative per qualificare la sicurezza di un servizio erogato da un
Cloud provider verso un cliente permette di avere le informazioni
necessarie per determinare in modo obiettivo e significativo il
raggiungimento dei rispettivi obiettivi di business. Per realizzare
l’obiettivo citato è necessario fare riferimento a tre capisaldi:
● Modello di misura;
● Modello di controllo;
● Modello di gestione.
Per approfondimenti si rimanda alla Sezione V/E’ possibile misurare? della
Pubblicazione.
Sezione VI "Conclusioni e commenti finali" e appendici
Chiudiamo questa pubblicazione con una sesta sezione e alcune appendici.
La sezione VI ci rammenta, pur nella sua brevità, che il cloud abilita l’innovazione e che al giorno d’oggi non se ne può prescindere. Il cloud infatti permette: servizi di ultima generazione (machine learning, analytics, big data), scalabilità e flessibilità garantiti “on demand”, riduzione dei costi e migliore efficienza e qualità delle attività IT, servizi e infrastrutture di sicurezza realizzati su vasta scala. Pur avendo scritto per decine di pagine di security, compliance e contratti, non vorremmo lasciare al lettore l’impressione che il cloud sia complesso e che sia meglio evitarlo. Semplicemente non era negli obiettivi di questa pubblicazione parlare diffusamente dei benefici ma di dare degli strumenti per adottarlo consapevolmente.
La prima appendice riporta con più dettaglio delle considerazioni sulla sicurezza del cloud e la quarta un maggior dettaglio rispetto ad un possibile sistema con il quale misurare le performance di un cloud provider.
La seconda appendice riporta i testi delle interviste ad alcune aziende utilizzatrici e la terza quelli delle aziende fornitrici. A loro va il nostro sentito ringraziamento per il tempo che ci hanno dedicato.
La pubblicazione si chiude con i nomi delle 54 persone che l’hanno realizzato.