Un decalogo e uno standard ISO per la migrazione sul cloud

Un decalogo e uno standard ISO per la migrazione sul cloud

Con il Clusit approfondiamo gli aspetti di normativa legale che permettono di compiere una scelta consapevole al momento della valutazione di un fornitore di servizio di cloud computing

di Andrea Bai pubblicato il nel canale Server e Workstation
 

Un faro nella nebbia: il decalogo del Garante della Privacy

Appare quindi evidente come le considerazioni da compiere al momento della scelta del fornitore di un servizio di cloud computing siano varie e complesse e comprendano anche la valutazione di aspetti normativi.

Nel mese di giugno 2012 il Garante della Privacy italiano ha pubblicato un vademecum informativo dal titolo "Proteggere i dati per non cadere dalle nuvole" che, oltre ad una serie di indicazioni utili a chiarire le terminologie proprie del mondo Cloud, contiene anche un decalogo comprensivo di una serie di informazioni utili a favorire un'adozione consapevole e responsabile del cloud, facilitando la valutazione dei rischi ed evitando di tralasciare o sottovalutare aspetti fondamentali:

1 - Effettuare una verifica sull’affidabilità del fornitore

Prima di trasferire sul cloud i dati di maggior valore è opportuno accertare la capacità, l’esperienza e l’affidabilità del fornitore del servizio, tenendo inoltre in considerazione le esigenze imprenditoriali, i rischi e le misure di sicurezza adottate. La valutazione dell’affidabilità del fornitore passa anche dalla qualità dei servizi cui il fornitore si avvale, dalla sua stabilità societaria e dall’adeguatezza delle sue infrastrutture.

2 - Privilegiare i servizi che favoriscono la portabilità dei dati

La possibilità di avvalersi di servizi di cloud che si appoggiano su standard aperti facilita l’eventuale migrazione dei propri dati da un fornitore di servizio ad un altro, allontanando meccanismi e politiche di “lock-in” da parte del fornitore e predisponendo il contratto di fornitura del servizio a condizioni di rescissione chiare e prevedibili.

3 - Assicurarsi la disponibilità dei dati in caso di necessità

E’ opportuno chiedere al fornitore di specificare a livello contrattuale le garanzie minime sulla disponibilità e sulle prestazioni dei servizi erogati. L’eventuale impossibilità, anche temporanea, di accedere ai dati può avere ripercussioni non solo sul cliente del servizio cloud ma anche a soggetti terzi (si pensi, per esempio, alle pubbliche amministrazioni che erogano servizi al cittadino). E’ altresì opportuno prevedere di mantenere una copia dei dati più sensibili al di fuori del cloud.

4 - Selezionare i dati da inserire nella nuvola

Per quelle informazioni che per vari motivi richiedono particolari misure di sicurezza e riservatezza è bene considerare se sia opportuno appoggiarsi a servizi di cloud pubblico. E’ infatti necessario tenere presente che, a prescindere dalla qualità del servizio e dall’affidabilità del fornitore, l’allocazione di dati in cloud ne riduce la capacità di controllo diretto.

5 - Non perdere di vista i dati

E’ opportuno valutare il tipo di servizio offerto, specie se il fornitore del servizio svolge solo un ruolo di intermediario e si basa su tecnologie messe a disposizione da un operatore terzo. E’ quindi necessario informarsi sulle prestazioni offerte da tutti i soggetti coinvolti nella fornitura del servizio.

6 - Informarsi su dove risiederanno, concretamente, i dati

Dal momento che la legge applicabile in caso di controversie dipende dalla giurisdizione geografica in cui si trovano fisicamente i dati, è necessario informarsi sulla dislocazione dei datacenter del fornitore del servizio, così come sui livelli di sicurezza offerti da eventuali realtà extra-UE.

7 - Attenzione alle clausole contrattuali

Verificare l’adeguatezza delle condizioni contrattuali dell’erogazione del servizio, specie con riferimento agli obblighi e alle responsabilità in caso di incidente o azione dolosa. E’ inoltre opportuno verificare le condizioni di recesso dal servizio.

8 - Verificare tempi e modalità di conservazione dei dati

Ove la legge non preveda o stabilisca condizioni precise per la conservazione e la cancellazione dei dati sul cloud è necessario accertare e contrattualizzare con il fornitore modalità chiare a questo scopo. In ogni caso i dati dovranno essere conservati solo nel rispetto delle finalità e delle modalità concordate.

9 - Esigere adeguate misure di sicurezza

Le esigenze di riservatezza dei dati impongono la ricerca di un fornitore del servizio che faccia uso di tecnologie e misure adeguate allo scopo. A tal proposito è consigliabile privilegiare coloro i quali adottino tecniche di crittografia abbinate a robusti meccanismi di identificazione dei soggetti autorizzati all’accesso.

10 - Formare adeguatamente il personale

L’elemento umano è sempre l’anello più debole di qualsiasi sistema di sicurezza. E’ importante che il personale, tanto del fornitore quanto del cliente, sia adeguatamente formato sia sul lato tecnico quanto sul lato procedurale.

 
^