Cloud computing e Software as a Service: i rischi, le contromisure, le normative impattate

Questo articolo fa parte di una serie di mie riflessioni sull’innovazione technology-driven, cominciata qui.

Con riferimento a quanto detto su confidenzialità e affidabilità dei servizi di cloud computing e sulla necessità per i clienti di tutelarsi, a partire dal contratto, fra gli obblighi contrattuali del Cloud Service Provider è necessario a mio avviso inserire:

  • Evidenza esplicita delle procedure di sicurezza del Cloud Service Provider.
  • Politiche di conservazione dei dati.
  • Reporting sulla localizzazione geografica dei dati.
  • Notifica di eventi anomali.
  • Penalità per violazione dei dati.
  • Compartimentalizzazione (no multitenancy) e Protezione contro la contaminazione dei dati tra clienti.

Inoltre, diverse misure di mitigazione dei rischi devono essere esplicitamente previste. Ad esempio, in ambito governabilità dell’infrastruttura, è necessario accertarsi se il Cloud Service Provider possiede direttamente tutti i livelli architetturali o è un service broker. Si devono avere precise garanzie sulla disponibilità dell’infrastruttura e delle applicazioni, verificando in particolare le politiche di assegnazione delle risorse in caso di overbooking. È necessario automatizzare il più possibile il controllo dei SLA.

Per quanto riguarda sicurezza dei dati e privacy, è necessario avere informazioni dettagliate su autenticazione degli accessie registrazione e monitoraggio delle azioni di amministrazione dell’ambiente, politiche di network security e host security.

Inoltre, è necessario verificare che sia presente una adeguata gestione della «Data privacy applicativa», in termini di classificazione dei dati e crittografia dei dati critici in transito e memorizzati.

In altri termini, le tipiche attività di governo dell’ambiente infrastrutturale e applicativo devono essere analizzate e rivisitate in ottica cloud. In particolare la definizione di ruoli e responsabilità per gestione dei dati e sviluppo e recupero delle informazioni.

Altre accortezze contrattuali devono essere adottate per evitare la dipendenza stretta dal fornitore di servizi cloud, soprattutto in presenza di servizi inadeguati, vanno quindi definiti contrattualmente opportuni servizi di auditing dei processi interni di gestione del Cloud Service Provider ed adeguate misure di way-out.

Cloud rischi e contromisure

In sintesi, possiamo affermare che il cloud computing rende più labili i confini tra l’organizzazione aziendale ed il mondo esterno e comporta rischi specifici di sicurezza e conformità, richiedendo, più che in passato, che le funzioni aziendali Legale, ICT, Sicurezza e Audit, operino in sinergia per rivedere i processi e i controlli e stilare il contratto di conseguenza.

Ad esempio, per tutte le procedure che riguardano il disaster recovery e la business continuity, in caso di disastro, in ragione della natura dinamica del Cloud, l’informazione potrebbe non essere immediatamente localizzata. La business continuity ed i piani di disaster recovery devono essere rivisti, ben documentati e testati; il cloud service provider deve comprendere appieno il suo ruolo in termini di back-up, incident response e recovery; i recovery time objectives (RTO) dovrebbero essere definiti nel contratto.

Gli ambiti normativi impattati dal nuovo paradigma del cloud computing sono molteplici. Si spazia dalla “Riservatezza dei dati personali” alla “Continuità del servizio e accesso ai dati”, dalla “Titolarità, riservatezza e proprietà intellettuale” alla “Negligenza del fornitore del servizio” per arrivare ai temi della “Detenzione di informazioni illegali” e al “Cambio di controllo, esternalizzazione dei servizi e cessazione del rapporto”.

Per una trattazione più completa potete fare riferimento al capitolo «Cloud computing: governance, risk e compliance del nuovo paradigma dell’informatica» nel volume «IT Governance e business performance» edito da Bancaria Editrice nel 2011.

Sono attive iniziative legislative sia in Italia che a livello di Commissione Europea, che il 27 giugno 2014 ha pubblicato le attese Linee Guida per l’utilizzo del Cloud, che potete approfondire qui

Comunicato stampa linee Guida Europee: http://europa.eu/rapid/press-release_IP-14-743_en.htm

Guida del Garante della Privacy: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1894503

Prosegue qui

disclaimer

Annunci

Dimmi la tua ...

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...