Nel panorama dei servizi cloud proposti dai provider, come orientarsi nella scelta più adeguata in termini tecnici, qualitativi e di garanzia per la sicurezza e la gestione dei dati
Negli ultimi anni, il termine “cloud” è entrato di forza nel vocabolario comune, in particolare tra i non addetti ai lavori. Capita sempre più spesso di sentire dire che “i dati vengono salvati sul cloud”, oppure che “sul cloud vengono gestiti veri e propri processi”. È necessario premettere che il cloud computing è un argomento articolato, variabile e complesso, benché basato su un concetto di fondo semplice: utilizzare una serie di computer collegati fra loro e posizionati (fisicamente) in diverse parti del mondo, che lavorano insieme con lo scopo di elaborare e gestire operazioni che possono richiedere una potenza di elaborazione, o uno spazio di archiviazione, difficilmente ottenibile da un computer singolo. Nella realtà, come noto, si tratta di complesse reti di elaboratori che svolgono lavori diversi e, all’esigenza, si combinano per fornire il servizio richiesto e nelle modalità più performanti possibile. Diversi sono i servizi possibili offerti dalla “nuvola”. Il più noto a tutti è sicuramente il servizio di archiviazione dei dati (o cloud storage). Però sono ben altri i servizi che stanno cambiando in modo radicale l’approccio delle organizzazioni, portando all’astrazione virtuale delle risorse IT.
Fra questi troviamo i servizi Platform as a Service (PaaS), i servizi Software as a Service (SaaS) e i Servizi Infrastructure as a Service (IaaS). In questo panorama di servizi e variabilità di proposte di mercato, quali possono essere i parametri per orientarsi nella scelta più adeguata in termini tecnici, qualitativi e di garanzia? Per la parte tecnica, data la variabilità della casistica, dei servizi offerti e delle peculiarità intrinseche di ogni organizzazione sarebbe utopico ipotizzare una risposta adeguata. Invece per la parte qualitativa e di garanzia, possiamo volgere lo sguardo a quanto proposto a livello internazionale in termini normativi. In particolare, vorrei soffermarmi su due norme dedicate all’argomento in oggetto che sono la ISO 27017 e la ISO 27018.
Entrambe definiscono requisiti aggiuntivi rispetto alla ISO 27001 – “Sistema di gestione per la sicurezza delle informazioni”, che si conferma come la “pietra miliare” del settore e su questa vengono aggiunti requisiti specifici per diversi settori – e alla ISO 27002 (il cui aggiornamento è atteso per l’inizio del 2022), che potremmo definire come la “linea di indirizzo” per l’implementazione della ISO 27001, in particolare dei “controlli” da essa definiti.
La ISO 27017 specifica i controlli aggiuntivi per i servizi cloud e rappresenta un punto di riferimento sia per i fornitori di servizi cloud sia per i clienti. È basata sui controlli dedicati derivanti dalla ISO 27002 e su sette nuovi controlli aggiuntivi focalizzati sulla configurazione delle virtual machine, sulla suddivisione delle responsabilità tra fornitore e clienti dei servizi cloud, sulla protezione e separazione degli ambienti virtuali, sulla rimozione e assegnazione delle attività al termine di un contratto, sulle attività di monitoraggio delle attività del cliente all’interno dell’ambiente cloud, sull’allineamento degli ambienti virtuale e cloud e sulle attività amministrative e procedure connesse con l’ambiente cloud. La ISO 27018 specifica invece il “Codice di condotta” per la protezione delle PII (Personally Identifiable Information) nei servizi di public cloud per i cloud provider. Lo scopo è definire una modalità organizzata, basandosi sul concetto di privacy by design, per gestire tutti gli aspetti legati alla gestione dei dati personali in infrastrutture informatiche distribuite. La digital transformation è ormai in atto. Un processo di cambiamento che ha registrato un’accelerazione significativa nell’ultimo periodo e che passa indubbiamente per i servizi cloud, confermandosi come priorità anche politica (almeno in linea teorica). Linee guida internazionali come la ISO 27017 e ISO 27018 per la gestione sulla “nuvola” delle attività e dei dati rappresentano un utile strumento di indirizzo e analisi per gli addetti ai lavori.
Alberto Rencurosi SQS ITALIA lead auditor – responsabile Norme Sicurezza Informazioni – sqs.it
