Un decalogo e uno standard ISO per la migrazione sul cloud

Un decalogo e uno standard ISO per la migrazione sul cloud

Con il Clusit approfondiamo gli aspetti di normativa legale che permettono di compiere una scelta consapevole al momento della valutazione di un fornitore di servizio di cloud computing

di pubblicato il nel canale Server e Workstation
 

Cloud Computing tra alibi e rischi reali

L'avvento del Cloud Computing ha messo molte aziende dinnanzi ad un vero dilemma: da un lato la possibilità di appropriarsi di tutta una serie di vantaggi in termini di flessibilità, scalabilità, disponibilità di dati e informazioni in mobilità, dall'altro i nuovi rischi legati a questo particolare modello di fruzione della tecnologia, sia che si tratti di private cloud, sia che si tratti di public cloud. Certo, spesso i rischi rappresentano un alibi dietro al quale nascondersi per evitare di affrontare una migrazione onerosa e complessa ma è comunque innegabile che il passaggio verso il Cloud ponga una serie di problematiche sconosciute alle impostazioni tecnologiche tradizionali.

Dopo aver approfondito le problematiche di sicurezza del mobile commerce e i risvolti più o meno oscuri delle criptovalute ci spostiamo, sempre grazie agli approfondimenti inseriti nell'edizione 2015 del Rapporto Clusit, sul terreno del Cloud computing analizzando in maniera particolare i profili legali relativi alla "nuovola". Il tema è sviluppato da Gabriele Faggioli, Presidente del Clusit e docente del Politecnico di Milano. Faggioli, oltre ad essere membro del Gruppo di Esperti sui contratti di cloud computing della Commissione Europea, vanta una serie di specializzazioni in contrattualistica informatica e telematica nonché nei campi della proprietà intellettuale e industriale e sicurezza informatica.

Una delle problematiche più pressanti legate al Cloud è ad esempio quella della riservatezza ed integrità dei dati e delle applicazioni: il rischio che venga compromessa la confidenzialità delle informazioni che vengono spostate sulla nuvola rappresenta spesso il principale ostacolo all'adozione di servizi di cloud computing. Non si tratta però di una preoccupazione infondata: laddove, infatti, i dati aziendali vadano a costituire un vero e proprio asset (tra l'altro protetto giuridicamente dall'indebita appropriazione ed utilizzo secondo l'articolo 98 del Codice della proprietà industriale) è evidente che eventuali falle dei sistemi di sicurezza del fornitore del servizio potrebbero causare una svalutazione dei beni dell'azienda e una conseguente perdita di capacità competitiva sul mercato.

Un secondo motivo di preoccupazione è dato dalla disponibilità di dati e risorse allocate in cloud, cioè dalle eventuali problematiche di qualsivoglia natura che possono sorgere nel momento in cui vi è la necessità di accedere al dato o alla risorsa. Anche in questo caso è opportuno considerare fin da subito quello che potrebbe essere l'impatto di una eventuale indisponibilità del servizio e arrivare a concordare con il fornitore del servizio una serie di misure di continuity e di recovery in grado di garantire l'operatività anche in caso di emergenza e il recupero delle informazioni eventualmente perse o danneggiate a seguito di eventi straordinari. E' anche bene considerare la possibilità di rivolgersi a servizi in grado di offrire formati e standard aperti, così che sia possibile replicare l'ambiente operativo e ridondarlo su diversi fornitori di servizio. Del resto è comunque bene tenere presente che l'accesso a dati e risorse in cloud potrebbe essere reso difficoltoso da ordinari problemi di rete e da eventuali congestioni del traffico sulla rete e, nei casi più gravi, interdetto a seguito di anomalie, guasti, azioni dolose o calamità naturali: eventi ciascuno caratterizzato da un suo grado di probabilità e di possibilità.

Vi è, infine, un terzo elemento critico da tenere presente nel momento in cui si valuta la possibilità di rivolgersi ad un servizio cloud e che presenta problematiche più sottili e delicate rispetto alle due categorie di rischio appena descritte e riguarda la collocazione geografica del dato. Sebbene infatti ciò non ponga almeno sulla carta particolari problemi dal punto di vista della disponibilità e della fruibilità del dato, vi sono numerosi aspetti normativi da tenere in considerazione, specie quando si trattano dati personali. Il dato va infatti a sottostare alle normative proprie della giurisdizione di riferimento del datacenter usato dal fornitore del servizio, aspetto che ha delle ricadute immediate sulle responsabilità in caso di contenzioso tra fornitore ed utente e sugli obblighi inerenti il trattamento e la sicurezza dei dati personali.

Le Autorità Garanti per la protezione dei dati personali, sia nel contesto nazionale, sia in quello comunitario, hanno cercato di fare chiarezza su come siano ripartiti gli obblighi previsti dalla normativa privacy sottolineando come l'utente di un servizio cloud sia il "titolare del trattamento" e come tale abbia l'obbligo di designare il cloud provider come "responsabile del trattamento" verificando che quest'ultimo rispetti in maniera corretta le norme previste in relazione ai dati trattati. Ciò significa, in altri termini, che in caso di violazioni commesse dal provider anche il titolare del trattamento (cioè l'utente) sarà chiamato a rispondere dell'eventuale illecito.

Sempre in tema di normativa privacy è molto importante tenere presente un ulteriore aspetto che nell'ambito del Cloud Computing può verificarsi con altissima probabilità e frequenza, ovvero il trasferimento dei dati al di fuori dei confini di riferimento. Sia a livello comunitario, sia a livello nazionale nel Codice Privacy italiano, il trasferimento di dati personali al di fuori dell'Unione Europea, anche eventualmente temporaneo, è regolato in maniera piuttosto restrittiva ed è di fatto vietato a meno che il Paese di destinazione o quello di transito non sia in possesso di norme in grado di garantire un adeguato livello di protezione. Anche per questo aspetto l'utente di un servizio cloud, il famoso "titolare del trattamento" avrà l'obbligo di conoscere il luogo in cui risiedono i dati di cui è titolare e le normative previste dai paesi extra-UE per il loro trattamento. Obbligo particolarmente improbo a fronte del fatto che spesso il fornitore del servizio non permette di conoscere l'ubicazione dei datacenter utilizzati, che il servizio scelto viene poi erogato tramite partner e fornitori diversi dal fornitore con cui si è stipulato il contratto.

 
^