Il Cloud non rappresenta più un’opzione per le aziende, soprattutto per quelle che vogliono competere con successo e conseguire obiettivi di crescita, essendo uno dei principali abilitatori di nuovi modelli di business e offrendo quelle caratteristiche di flessibilità e scalabilità di cui le organizzazioni di qualunque settore non possono più fare meno.
Nel Barometro Cybersecurity 2021, la survey condotta da NetConsulting cube su circa 80 aziende ed enti della Pubblica Amministrazione, in prevalenza di grandi dimensioni, risulta che il 90% del campione ha implementato almeno una tipologia di servizio Cloud, con prevalenza di utilizzo di ambienti ibridi (circa il 51% del panel).
L’emergenza sanitaria ha accelerato il processo di migrazione per coloro che lo avevano già intrapreso e ha posto coloro che guardavano ancora al cloud con scetticismo di fronte a una strada a senso unico, in cui il cloud rappresentava l’unica soluzione per garantire continuità nell’erogazione dei servizi e in alcuni casi addirittura i fattori minimi per la sopravvivenza sul mercato.
Un 30% dal panel, in prevalenza dei settori EnergyUtility, Telecomunicazioni e Industria, risulta aver già migrato in Cloud carichi di lavoro superiori al 50%, a prescindere dal modello implementato. Inoltre, un ulteriore 42% ha già introdotto strategie multicloud, intese in particolare come l’utilizzo di fornitori differenti in ambienti infrastrutturali e di piattaforma. Anche in questo caso, Energy-Utility e le grandi aziende industriali sono i settori che hanno implementato con maggiore frequenza questo modello.
Ma una testimonianza ancora più significativa della portata dirompente che sta assumendo questa tecnologia è data dal fatto che la migrazione al cloud è inclusa nei piani strategici delle principali aziende italiane (Enel, Intesa Sanpaolo solo per fare qualche esempio) e si parla di cloud journey per indicare un percorso evolutivo che non riguarda solo un’innovazione delle architetture tecnologiche, ma anche un processo di cambiamento organizzativo e di change management.
I rischi da considerare
Come tutte le tecnologie innovative, l’adozione del cloud deve tener conto di costi e benefici che la migrazione comporta e delle aree di attenzione che, se non valutate e analizzate in modo opportuno, possono trasformarsi in criticità. Una dei punti principali da considerare è la sicurezza nel cloud, con riferimento sia ai dati che vengono trasferiti nella nuvola sia alla governance della relazione con il cloud provider. Non a caso, sempre con riferimento al panel del Barometro Cybersecurity, la necessità di avere strumenti di governance che consentano di presidiare la sicurezza con un approccio end-to-end, è citata come aspetto importante dal 55% delle aziende che adottano il cloud. Ma è soprattutto la protezione dei dati nel cloud a rappresentare la principale preoccupazione per le aziende, tenuto conto anche delle normative vigenti come la GDPR. Nella Cloud Security Survey, indagine svolta dal SANS Institute su circa 300 aziende attive in tutto il mondo, che adottano le architetture di Public Cloud, protezione di dati, competenze interne, tematiche di integrazione e migrazione sono le principali criticità in tema di sicurezza.
Più in dettaglio, l’accessonon autorizzato ai dati da parte di estrane i (56%) è la principale fonte di preoccupazione in termini di sicurezza. Possibile compromissione di dati e informazioni del Cliente presso i siti del service provider sono uno dei principali rischi che le aziende considerano nella migrazione al cloud. I rischi relativi all’integrità o all’indisponibilità di dati possono essere determinati da diversi fattori, solo a titolo esemplificativo si citano: una cattiva configurazione degli ambienti e la vulnerabilità dei meccanismi di segregazione; l’intercettazione da parte di malintenzionati dei dati in transito dal cliente al cloud provider o tra i diversi siti del cloud provider; attacchi di Denial of Service finalizzati ad esaurire le risorse del Cloud Service Provider, rallentando l’accesso ai dati e ai servizi; la perdita o compromissione delle chiavi crittografiche, con possibile indisponibilità o sottrazione dei dati.
Tra gli altri elementi che minacciano la sicurezza aziendale, va segnalata la configurazione non adeguata e comunque non sicura delle API (54%), la mancanza di competenze/ formazione in materia di sicurezza del Cloud (53%), la scarsa visibilità di quali dati sono elaborati nel Public Cloud e su quali risorse (53%), la presenza di componenti applicative o istanze di calcolo non autorizzate (51%). Al di là dei rischi tecnologici, sono da considerare attentamente anche i rischi organizzativi tra cui uno dei principali è il rischio di lock-in, che si traduce nella difficoltà nel cambiare fornitore o nel re-internalizzare i servizi. Tale dipendenza può essere dovuta alla mancanza di competenze specifiche e risorse internamente al Cliente o all’utilizzo di Cloud Service Provider che impiegano diffusamente tecnologie proprietarie poco interoperabili. In particolare, uno dei principali rischi di Lock in è legato alla portabilità dei dati.
Cloud Computing e GDPR
In un contratto di fornitura di servizi cloud, il cloud provider assume il ruolo di responsabile esterno del trattamento rispetto all’azienda o al soggetto che deposita i dati nel cloud, che è titolare del trattamento. Il fornitore di cloud, quale responsabile, risponde per i danni occorsi ad un interessato solo in caso di non corretto adempimento degli obblighi previsti dalle norme in capo al responsabile stesso, oppure se ha agito in modo difforme rispetto a quanto definito negli accordi contrattuali con il titolare del trattamento. Un aspetto fondamentale riguarda le misure di sicurezza implementate dal fornitore di cloud computing. Pertanto, prima di procedere ad utilizzare un servizio di cloud, è necessario effettuare una mappatura dei dati che saranno elaborati esternamente, in modo da identificare dei cluster a cui corrispondano diversi livelli di tutela. In tale prospettiva sarà, quindi, necessario ottenere le seguenti informazioni dal provider di cloud:
- l’eventuale utilizzo di tecnologie di archiviazione con separazione (fisica o logica) dei dati tra i vari “clienti” del provider;
- l’eventuale utilizzo di sistemi di etichettatura per impedire che i dati vengano replicati in determinati paesi o regioni;
- l’eventuale utilizzo di sistemi di cifratura dei dati e di gestione delle policy di accesso, con registrazione degli accessi tramite log;
- l’eventuale utilizzo di sistemi di comunicazione sicura (SSL/TLS) per l’accesso ai dati via browser.
Un aspetto importante riguarda la cifratura dei dati, generalmente fornita per la trasmissione o lo storage dei dati ma non nella fase di elaborazione, in quanto spesso il dato viene utilizzato dalla piattaforma per alimentare un sistema di intelligenza artificiale.
La nuova strategia di Cloud Nazionale
Il cloud è uno degli assi fondamentali della trasformazione digitale del Paese e della Pubblica Amministrazione ed è al centro della “Strategia Cloud Italia” che definisce obiettivi e linee guida per l’implementazione dei servizi cloud in Italia, affermando il principio cardine dell’approccio “Cloud First”, già obiettivo strategico definito nel Piano Triennale per l’Informatica della PA 2019-2021, ribadito nella riedizione del Piano 2020-2022, che sottolinea come le pubbliche amministrazioni, in fase di definizione di un nuovo progetto e di sviluppo di nuovi servizi, debbano adottare primariamente il paradigma cloud, tenendo conto della necessità di prevenire il rischio di lock-in. Controllo dei dati, autonomia tecnologica e sovranità digitale, resilienza sono gli aspetti fondamentali della nuova strategia di cloud nazionale che, peraltro, si riagganciano alla direttiva NIS e al Perimetro di Sicurezza Nazionale Cibernetica.
La strategia Cloud per la PA si declina quindi sulla base delle seguenti linee di indirizzo strategico:
- Classificazione dei Dati e dei Servizi secondo tre livelli: strategico, critico e ordinario. La classificazione dovrà tener conto del danno stimato per il sistema Paese che potrebbe derivare da una loro compromissione. Inoltre, la classificazione rappresenta uno dei principali criteri nella scelta del cloud provider e della modalità del servizio;
- Qualificazione dei Servizi Cloud: per semplificare e regolamentare l’acquisizione di servizi Cloud da parte delle PA, dal punto di vista tecnico (ad es. gestione operativa, sicurezza) e amministrativo (ad es. condizioni contrattuali);
- Polo Strategico Nazionale: che dovrà garantire adeguati livelli di continuità operativa e tolleranza ai guasti per i servizi strategici e critici della PA. A tale scopo, la strategia prevede che il PSN sia distribuito geograficamente sul territorio nazionale presso siti opportunamente identificati. La gestione operativa del PSN sarà affidata a un fornitore qualificato, selezionato tramite gara europea e l’infrastruttura sarà progettata nel rispetto degli standard di interoperabilità dei dati definiti a livello europeo, di conseguenza, con l’iniziativa Gaia-X per consentire il libero scambio di dati non personali tra i vari Stati membri interconnettendo i loro modelli cloud nazionali.
Come si comprende facilmente il tema dei dati e della loro classificazione è ancora una volta centrale, dal momento che determinerà la tipologia di cloud su cui dovranno risiedere, e nello stesso tempo è necessario avere delle linee guida puntuali e definite per consentire agli attori in gioco di effettuare le scelte in modo conforme con la normativa. In conclusione, in considerazione delle possibili minacce e degli impatti che potrebbero avere sul business, qualsiasi processo di migrazione al cloud non può prescindere da un’analisi del rischio sui servizi esternalizzati che tenga conto di alcuni elementi, a partire dalla classificazione dei dati migrati verso il cloud in termini di strategicità per il business e/o di riservatezza.
È evidente che l’essenzialità/criticità per l’azienda di ciascun servizio che viene migrato su cloud è un altro aspetto da prendere in considerazione insieme alla tipologia di cloud e al modello di servizio. Un ulteriore punto di attenzione riguarda la continuità del processo di analisi del rischio che dovrà essere reiterato periodicamente nel corso del rapporto per aggiornare la valutazione dei rischi e dei relativi impatti. È fuori dubbio che il percorso di evoluzione verso il cloud è complesso e comporta investimenti sia in tecnologia che in skill, oltre che una riorganizzazione interna all’IT e ad altre funzioni (si pensi alle diverse competenze che dovranno avere i responsabili del procurement e degli uffici legali), ma si tratta di un processo che è inevitabile per i benefici che comporta e per poter tenere il passo con le evoluzioni del mercato.
Autore: Rossella Macinante
