Il Cloud computing è uno dei settori del mercato IT che ha registrato la crescita più interessante negli ultimi anni. Inutile nascondersi però che esiste un problema giurisdizionale legato al Cloud e che, per quanto l’imposizione di vincoli regolamentari possa essere percepita come un freno al suo sviluppo, in realtà l’incertezza del diritto rimane uno degli ostacoli più pervasivi alla sua diffusione, con ripercussioni negative a danno di tutti i soggetti coinvolti, aziende, settore pubblico e vendor
Le parole sul Cloud computing di Neelie Kroes, commissario per l’Agenda Digitale e vice presidente della Commissione Europea, pronunciate lo scorso anno, hanno avuto vasta eco nel settore. Che cosa ha detto in sostanza la Kroes? Dopo aver ribadito che il Cloud computing (CC) è uno dei fenomeni emergenti nel panorama IT, ha richiamato l’attenzione sull’eventualità che dal momento in cui mettiamo i nostri dati in un server remoto si corre il rischio di perderne il controllo. In Europa, sottolinea la Kroes, la protezione del dato è un diritto fondamentale, ha radici solide e deve essere preservata con azioni appropriate, a partire dai vendor. La Kroes rileva che il flusso di dati all’interno dell’UE solleva una serie di problemi che devono essere affrontati a partire da una maggiore omologazione della legislazione vigente tra Paesi UE. Nella visione della Kroes la libera circolazione dei dati personali all’interno dell’area UE rappresenta un altro strumento per realizzare il Mercato digitale (Digital Single Market) in Europa. Ma perché questo avvenga il Cloud deve garantire la forte protezione del dato; perciò è necessario che l’approccio che i fornitori di servizi Cloud devono adottare sia di maggiore apertura e trasparenza. La Kroes ha sottolineato che la disponibilità di regole chiare va a tutto vantaggio delle stesse aziende di ICT, perché le aiuta a stabilire con chiarezza che cosa è permesso fare e cosa non lo è. Questo significa misure più semplici e armonizzate. Allo stesso modo l’UE – argomenta la Kroes – incoraggia l’adozione di codici e comportamenti di autoregolamentazione per proteggere e servire al meglio i propri clienti. Secondo la Kroes i vincitori di questa sfida saranno coloro che comprenderanno il vantaggio competitivo derivante dall’offerta di servizi dotati al loro interno di feature sulla privacy. Ogni cliente dei servizi di CC secondo la vision della Kroes deve essere in grado di conoscere due cose: primo che il proprio fornitore di servizi Cloud protegge i suoi dati in modo trasparente e in linea con gli standard europei; secondariamente che tutti i Paesi in cui sono residenti i server che ospitano i dati siano inseriti in una cornice legale con leggi adeguate a protezione della privacy e delle informazioni. Le sole eccezioni possibili devono essere dettate da ragioni di ordine pubblico e sicurezza nazionale e comunque regolamentate per legge. Per fare questo ci vogliono governi motivati e ferme convinzioni in materia. La Commissione ha iniziato a lavorare a una strategia per il CC e, per farlo al meglio, la Kroes ha ricordato che c’è bisogno dell’apporto di tutti, società civile, ricerca, industria. Se questo è lo sfondo, il lavoro che c’è da fare per rivedere la legislazione europea in materia si prospetta articolato e impegnativo. Una prima revisione è stata intrapresa da Viviane Reding, commissario europeo alla Giustizia e mira a far sì che le regole che verranno redatte siano in grado di far fronte alle sfide della globalizzazione e delle tecnologie emergenti, al social networking, all’e-commerce e così via. Oggi, rileva la Kroes, «è necessario cambiare la cornice legislativa esistente per assicurare che i nostri diritti fondamentali e le nostre libertà non ne escano indeboliti dal confronto con l’era digitale». Per questo sono molte le domande cui bisogna rispondere: assicurare la trasparenza dei dati; limitarne la raccolta ai soli necessari; diritto all’oblio; portabilità dei dati; maggiore efficienza degli investimenti per la loro protezione». Il CC può diventare uno dei pilastri del nostro futuro digitale – sottolinea la Kroes -, ma solo assicurandosi una protezione dei dati che funzioni è possibile dare una forma al nostro futuro digitale».
UNA PROSPETTIVA INTERNAZIONALE
Il mercato del Cloud è composto per buona parte da player globali che operano attraverso un reticolo di data center sparsi qua e là per il mondo; questa peculiarità rende giocoforza la tematica del CC inquadrabile almeno sulla carta a partire da una prospettiva internazionale. In effetti basterà ricordare che sebbene oggi il quadro normativo europeo in materia di protezione dei dati personali, Direttiva 95/46/CE, fissi una serie stringente di tutele giuridiche in materia di privacy, di fatto si scontri con l’impossibilità per molti Paesi extra UE – Stati Uniti compresi – di assicurarne il rispetto. Ma anche per quanto riguarda realtà più vicine alla nostra riuscire a stabilire con certezza quale legislazione si applichi in materia di Cloud è tutt’altro che semplice. Tra i primi nodi da sciogliere per esempio ci sono quello di stabilire quali leggi regolino i rapporti con il provider sotto il profilo della tutela dei dati personali, e di individuare quale giudice potrebbe essere adito, a fronte di eventuali inadempienze da parte del fornitore.
Aggiornare la normativa a livello europeo. In Europa la normativa è tutt’altro che uniforme. Per esempio gli adempimenti cui è tenuto il titolare del trattamento dei dati al fine di garantire una piena compliance al trattamento degli stessi – oppure le regole adottate in materia di data retention, quelle che, per intenderci, fissano i termini minimi e massimi di conservazione dei dati, variano sensibilmente da un Paese all’altro. Questa situazione ha spinto la Commissione a dichiarare che “al fine di adeguare le regole e le categorie giuridiche esistenti a nuovi modelli di condivisione e di gestione dei dati personali […], non è più possibile rimandare una radicale revisione del quadro normativo comunitario in materia di privacy”. I temi principali su cui mettere mano sono, in sintesi, la filiera delle responsabilità nel trattamento delle informazioni e le tematiche relative a storage, spostamento e perdita dei dati.
Filiera delle responsabilità. Sul primo punto il minimo che si può dire è che la disciplina vigente soffre di strabismo. Se da un lato, infatti, indica senza ambiguità che la normativa di riferimento è quella del Paese in cui è stabilito il titolare del trattamento dei dati, dall’altro non stabilisce con altrettanta chiarezza chi sono rispettivamente il titolare e il responsabile del trattamento dei dati, né delinea con chiarezza i loro ruoli e responsabilità. Soprattutto non tiene in alcun conto il possibile squilibrio che può crearsi tra le parti. Per esempio il fornitore di servizi Cloud spesso è indicato come il responsabile del trattamento dei dati. Ma in tutti quei casi in cui la Pmi italiana si rivolge a un fornitore di servizi fuori dal nostro Paese, disponendo in genere di un limitato potere negoziale, non ha alcuna possibilità di pretendere che venga rispettata la normativa italiana, né di controllarne il comportamento. Strettamente connesso è il problema del controllo dell’amministratore di sistema che deve poter essere esercitato dal cliente qualora si tratti di personale esterno all’azienda. Da qui nasce l’ipotesi, più che fondata, che il Cloud, o almeno buona parte del Cloud, non rispetti la normativa. Tra i primi a dirlo a chiare lettere è stato l’avvocato Bolognini, presidente dell’Istituto italiano per la privacy, rilevando che gran parte del Cloud in circolazione non è conforme né alla normativa europea né a quella italiana. «In Europa non esiste la figura del super responsabile. Ogni titolare dei dati deve nominare ciascun responsabile esterno. Nella prassi però sappiamo quanti sono i soggetti che interagiscono con il Cloud e quanti quelli non nominati», ci dice Bolognini.
Spostamento e perdita dei dati. Con il Cloud lo spostamento delle informazioni è la prassi. I dati possono essere immagazzinati e replicati ovunque nel mondo anche per ragioni di ridondanza e disponibilità degli stessi. Il Csp (Cloud service provider) ha la facoltà di crittare e spezzettare tra più server e dischi dei propri data center i dati del cliente. Questa prassi nelle intenzioni del vendor dovrebbe garantire la possibilità di utilizzo solo ai legittimi possessori. E tutti i vendor naturalmente sono pronti a giurare che le informazioni sono archiviate nel modo più sicuro e tutelate da elevati standard e policy per la protezione della privacy. La domanda corretta da porsi non dovrebbe essere “dove sono i miei dati?”, quanto “chi li conserva e in che modo li protegge?” abbiamo spesso sentito ripetere dai vendor. Per gli utenti – argomentano i vendor – gli aspetti importanti dovrebbero essere trasparenza e facilità di comprensione delle policy per la protezione dei dati dell’azienda, non il luogo fisico in cui risiedono i dati. Come stanno in realtà le cose? I testi di riferimento sono la Direttiva 95/46/CE e per quanto riguarda il nostro Paese il DL n.196 del 30 giugno 2003. La normativa fissa che l’individuazione della legge applicabile si determina in base a criteri essenzialmente territoriali. Questo principio, notano gli esperti di diritto, mal si concilia con una delle peculiarità del Cloud, vale a dire l’estrema volatilità spaziale del dato. E per estensione delle stesse responsabilità del Csp esemplificato dalla possibilità che il semplice spostamento della sede della società e dei suoi data center al di fuori del territorio europeo metterebbe il provider in condizione di sottrarsi ai vincoli fissati dalla normativa UE in materia di privacy. La legge italiana così come quella europea vietano il trasferimento di dati personali verso quei Paesi che non assicurano un adeguato livello di protezione, a meno che prima di procedere al trasferimento non vengano adottate misure precauzionali adeguate, anche di natura contrattuale, per la protezione dei dati personali e si ottenga il consenso dell’avente diritto, pratica quest’ultima quasi del tutto inattuabile. Sapere esattamente in quale Paese risiede il server che ospita i dati è importante anche per dare esecuzione a ordini di esibizione, di accesso o di sequestro, azioni queste che saranno sempre di competenza solo dello stato in cui il server risiede e possibili solo nel caso in cui ne sussistano i presupposti giuridici. Nei casi in cui non esistano leggi ad hoc e non sia riconosciuto un certo grado di reciprocità con il nostro Paese, l’Autorità Giudiziaria italiana potrà accedere a quei database solo dopo l’accoglimento di rogatorie internazionali, di solito lunghe e complicate. Dato questo quadro è persino superfluo ricordare che occorre procedere con cautela nella scelta del fornitore del servizio.
LA SCELTA DEL PROVIDER E DELLE TECNOLOGIE MIGLIORI
Tra gli ostacoli che frenano l’adozione del Cloud, la qualità dell’offerta, le caratteristiche proprie della domanda e il livello/penetrazione delle infrastrutture esistenti sono, in un’ottica di sicurezza, i più pervasivi. La diffusione del Cloud richiede un’infrastruttura delle telecomunicazioni moderna ed efficiente e da questo punto di vista l’Italia sconta ancora notevoli ritardi. A questo si aggiunge un certo ritardo culturale ancora più evidente se si confronta il livello di penetrazione nel nostro Paese rispetto a quelli più avanzati in ambito europeo. Eppure, almeno a giudicare dalle ricerche in circolazione, il livello di gradimento del Cloud tra le aziende del nostro Paese – di benevola predisposizione verso l’adozione del Cloud – è in linea con la media europea. Non dimentichiamo quanto la gestione della sicurezza costi in termini di risorse alle aziende. Per esempio una recente ricerca dimostra quanto continui ad aumentare il tempo che le aziende dedicano alla sicurezza; la prospettiva di poter ridurre mal di pancia e grattacapi perciò sarebbe terreno fertile per fare conoscere i vantaggi del Cloud. (E, come dimostra un’altra survey, i problemi sono sempre più complessi). Però non appena si gratta la superficie e si guarda un po’ più a fondo nelle peculiarità del CC e alle sue implicazioni in termini di sicurezza, molte aziende, e le Pmi in particolare, percepiscono come problematica l’erogazione di servizi con questa modalità. Poche aziende sono in grado di valutare il partner di sicurezza più adatto o perché non possiedono le competenze necessarie oppure perché i vendor non sono sufficientemente trasparenti per permettere loro di redigere delle valutazioni adeguate. Come ha in più occasioni ribadito Udo Helmbrecht, executive director dell’ Enisa (http://www.enisa.europa.eu/), un alone di mistero avvolge le loro pratiche di gestione dei sistemi e ciò priva degli elementi essenziali per redigere un’adeguata analisi del rischio. Perciò il meno che si possa dire è che la macchina comunicativa dei vendor necessita di una messa a punto. Trasparenza e chiarezza più volte richiamate anche qui, sono le parole d’ordine da tenere presente nella scelta del partner Cloud e dagli stessi evocate e utilizzate come termine di paragone per illustrare i propri atout. Per esempio Federico Carbone, services architect di CA Technologies (www.ca.com/It), ci ricorda che nella scelta del partner è necessario che il cliente valuti gli aspetti operativi, funzionali e tecnologici dell’offerta, utilizzando gli stessi criteri impiegati nella scelta di un fornitore “standard”; nel caso del Cloud però, visto l’elevato livello di fiducia da riporre nel provider, trasparenza e chiarezza si declinano in questo modo: «un chiaro modello di pricing, supportato da strumenti per il controllo del livello di utilizzo dei servizi e dei relativi costi; un supporto compatibile con le proprie esigenze (per esempio personale che risponda nella lingua locale e in orari idonei); la disponibilità alla negoziazione di livelli di servizio chiari e misurabili; portabilità e interoperabilità, volte a semplificare la migrazione nel Cloud e a garantire futuri cambi di provider; trasparenza nei processi, procedure e tecnologie utilizzati per garantire integrità, confidenzialità e disponibilità dei dati». Detto questo un cliente che sta valutando un partner non può non tenere in considerazione affidabilità, sicurezza, capacità di integrazione dei servizi di filiera – requisiti questi fortemente interconnessi. Il partner prescelto deve disporre di infrastrutture, processi e servizi caratterizzati da standard qualitativi di eccellenza: «Certificazioni quali la ISO 20000 per l’IT service management e la ISO 27000 per la sicurezza delle informazioni», nota Denis Nalon, business programs manager di Fujitsu Technology Solutions (http://it.fujitsu.com/), unite a «competenze specializzate sulle tecnologie e su temi rilevanti (architetture di data center, virtualizzazione, sicurezza dei dati per citarne alcune) e alla capacità di esprimere una vision coerente e un adeguato livello di commitment», sono ottimi biglietti da visita per presentarsi al potenziale cliente. Per Marco Frigerio, regional manager di DataCore (www.datacore.com), la scelta del provider dovrebbe avvenire «tenendo conto del disegno dell’infrastruttura Cloud e dei livelli di affidabilità, scalabilità ed efficienza che è in grado di offrire». Dando per acquisito che il Csp proponga soluzioni che garantiscano un utilizzo sicuro delle risorse “sulla nuvola” per Dario Pardi, regional vice president Southern and Benelux di Hitachi Data Systems (www.hds.com), «è fondamentale che il vendor renda disponibili informazioni e tecnologie in modo scalabile e sotto forma di servizio»; così come che il fornitore sia in grado di integrare tecnologie, soluzioni e servizi per semplificare e accelerare l’adozione di ambienti Cloud privati, pubblici e ibridi. «Grazie a questo approccio, le organizzazioni possono adottare un modello di CC focalizzato sulle reali esigenze di business e che sfrutti al meglio gli investimenti attuali e futuri», precisa Pardi. Esperienza, competenza e solidità del fornitore – soprattutto in questo periodo in cui vediamo come in tanti, pur disponendo solo di piccoli data center, si stiano improvvisando Csp per offrire servizi Cloud -, sono, secondo Carlo Alunni, direttore tecnico di Omnitech (www.omnitechweb.it), aspetti da considerare nella scelta del potenziale partner: «Tutti parlano e offrono Cloud, ma in molte circostanze quello che offrono in realtà è housing o hosting; configurazioni fisse difficilmente espandibili e senza nessuna gestione dinamica delle risorse»; considerazioni queste condivise anche da Isabelle Poncet, technology marketing manager Borderless Networks MED di Cisco (www.cisco.com/it), che ribadisce come «solo un partner tecnologico esperto e affidabile che disponga di competenze e di una chiara strategia sull’evoluzione della sicurezza e del Cloud, con un Gtm (Global Traffic Manager, ndr) definito attraverso i propri partner e service provider, può dare consigli su quella che può essere la strada migliore da percorrere». Ciò anche in un’ottica di ritorno dell’investimento come quella rimarcata da Pier Paolo Lanati, country manager di Ipanema Technologies (www.ipanematech.com), quando afferma che «gli aspetti più importanti da valutare sono i vantaggi derivanti dall’ottimizzazione degli investimenti e dei flussi di cassa (no Capex), e dalla riduzione del “time-to-market”» .
Sgomberato il campo da ogni dubbio circa lo standing del Csp e appurato che sia in grado di fornire accordi sulla qualità del servizio (Service level agreement) in linea con le proprie esigenze, secondo Antonio Baldassarra, Ceo di Seeweb (www.seeweb.it), occorre a questo punto considerare l’aderenza dell’offerta Cloud in esame con la normativa e le policy aziendali: «Conoscere la topologia dell’infrastruttura è indispensabile al fine di individuare il giusto approccio per la tutela e il trattamento dei dati, magari limitando lo “spawn” (il luogo di erogazione, ndr) del servizio in una determinata regione geografica o Paese». A questo proposito Domenico Fusco, direttore vendite Italia di Panda Security (www.pandasecurity.com), sottolinea «l’importanza di comprendere le modalità di gestione e le policy legate alle informazioni che saranno “trasportate” nella Cloud, soprattutto quando sono distributori, reseller o service provider a occuparsene». Denis Nalon (Fujitsu Technology Solutions) pone l’accento su un importante valore aggiunto offerto da alcuni Csp vale a dire «l’abilità di ricombinare e integrare servizi normalmente proposti da diverse tipologie di operatori: hardware & software vendor, fornitori di servizi di data center, system integrator, operatori di telecomunicazioni». Giacomo Mosca, B2B manager Italy di Iomega (www.iomega.com), evidenzia a questo proposito come assieme all’affidabilità delle soluzioni e le garanzie sulla riservatezza dei dati, siano importanti «la trasparenza e la semplicità di accesso ai dati stessi». Completano il quadro, secondo Carbone (CA Technologies), una leadership riconosciuta del vendor nell’area geografica di riferimento del cliente e la possibilità per lo stesso di condurre audit in prima persona o tramite terze parti, come anche la disponibilità di certificazioni di sicurezza (ISO27001, SAS70, …); aspetto questo ripreso anche da Giovanni Zoffoli, customer marketing manager di Microsoft Italia (www.microsoft.com/it/), che sottolinea come il gigante di Redmond abbia basato tutti i programmi sullo standard ISO, per costruire un modello che adotta, utilizza e lavora su uno standard condiviso. «Questo approccio ci permette di documentare “che cosa facciamo” e “come lo facciamo” e ci consente di avere la massima trasparenza su tutte le attività che compiamo, non solo con i clienti, ma anche con i nostri partner e con le terze parti, deputate a verificare che il nostro operato corrisponda alle necessità delle aziende utenti».
Attenzione infine ai dettagli, soprattutto nella verifica dell’offerta in termini di servizi base e aggiuntivi: «Ci sono grandi differenze, talora ben nascoste, tra i diversi fornitori soprattutto in termini di tipo e affidabilità dei backup e di livelli minimi di servizio garantiti», rileva Alunni (Omnitech); e la stessa considerazione è svolta anche da Gastone Nencini, technical manager di Trend Micro Southern Europe (www.trendmicro.it), che sottolinea l’importanza di affidarsi a fornitori di sicurezza che possano garantire la continuità del business anche attraverso contratti di Service level agreement (Sla), che prevedano «se non vengono rispettate le garanzie sul livello di servizio proposto/promesso, il diritto di ottenere un rimborso». Non meno importante in termini generali di qualità del servizio è la scalabilità delle soluzioni: «Un requisito essenziale è che la soluzione proposta sia rapidamente adattabile all’incrementare del traffico, capace cioè di crescere dinamicamente a fronte di richieste di maggior capacità, o di decrescere quando i livelli di throughput si abbassano», ci dice Alberto Prandini, regional director Italia, Grecia e Cipro di Radware (www.radware.com).
NORMATIVE COMUNI
Il CC è uno dei settori del mercato IT che ha registrato la crescita più interessante negli ultimi anni, come testimonia l’incremento costante del numero di aziende che accede via Web a una gamma di servizi sempre più ampia. La crisi economica ha solo accelerato questa tendenza, tanto che per molti analisti siamo alla vigilia di un vero e proprio boom del settore. Inutile nascondersi però che esiste un problema giurisdizionale legato al Cloud grande come una casa. Come accennato, non tutti gli Stati europei sono oggi attrezzati con leggi chiare in materia, così come anche a livello comunitario la legislazione è stata in parte superata dall’evoluzione tecnologica. L’UE ha a più riprese ribadito di voler colmare questo gap e a partire dal 2012 metterà a punto una serie di linee guida che attraverso l’impiego di un approccio comune e condiviso consentiranno ad aziende e istituzioni di utilizzare efficacemente il CC. Se, come probabilmente sempre più spesso in futuro, i dati saranno custoditi da soggetti terzi, l’arrivo di un intervento normativo volto a definire poteri e responsabilità dei soggetti coinvolti, ridistribuendo le responsabilità tra i diversi player e introducendo una figura di responsabile in grado di assumersi in prima persona specifiche responsabilità così come di definire tutte le altre misure necessarie ad adeguare l’impianto normativo esistente al cambiamento introdotto dalle nuove tecnologie è, lo si capisce bene, oltre che auspicabile, improcrastinabile. Per quanto l’imposizione di vincoli regolamentari possa essere percepita come un freno allo sviluppo del Cloud, in realtà l’incertezza del diritto rimane uno degli ostacoli più pervasivi alla sua diffusione, con ripercussioni negative a danno di tutti i soggetti coinvolti, aziende, settore pubblico e vendor. Questi ultimi, d’altra parte, chiamati a loro volta a dare il loro contributo. Disponibilità di banda per la trasmissione dei dati o di infrastrutture all’altezza della situazione non sono da soli fattori sufficienti per identificare il partner a cui affidarsi. Il potenziale cliente premia il partner che più riesce ad avvicinarsi a un mix di affidabilità, completezza e qualità dei servizi da un lato ed effettiva convenienza della proposta commerciale dall’altro. Maggiore trasparenza dell’offerta e apertura alle esigenze di tutto lo spettro di potenziali clienti rimangono tuttora obiettivi oltre che auspicabili, perfettibili. Per fare solo un esempio, in futuro la certificazione della affidabilità del provider potrebbe rappresentare una condizione necessaria per rafforzare nel mercato le condizioni di fiducia necessarie per superare le resistenze anche dei soggetti restii ad accettare i servizi Cloud.
Reputation Enabled Defense
«Siamo il primo e unico vendor di sicurezza ad avere un servizio completo di reputazione degli Url integrato con i nostri firewall multifunzione di nuova generazione», afferma Fabrizio Croce, regional manager Semea di WatchGuard Technologies (www.watchguard.it).
Reputation Enabled Defense è un servizio innovativo di sicurezza Cloud based che protegge gli utenti dalle minacce Web nascoste di nuova generazione. Abbinato alle appliance WatchGuard XTM o XCS, garantisce alle aziende e ai loro dipendenti una protezione superiore contro virus, malware, spyware, keyloggers, botnets e altre minacce provenienti dal Web, offrendo in aggiunta una navigazione più veloce e produttiva.
Reputation Enabled Defense fornisce una navigazione dei siti Web estremamente sicura attraverso un lookup di reputation Cloud based che segnala gli Url come buoni, cattivi o sconosciuti. Il lookup si basa su un database globale dinamico, che aggrega dati da molteplici fonti, inclusi i motori anti-virus più noti. Gli Url con una cattiva reputazione vengono immediatamente bloccati, mentre gli Url con una buona reputazione possono essere diretti al firewall di rete. Url con una reputazione non determinata vengono scansiti dalle appliance WatchGuard XTM o XCS per assicurare l’assenza di malware.
WatchGuard dà agli amministratori la capacità di configurare le soglie di reputazione, il che permette alle aziende di ottimizzare e controllare la gestione dei rischi IT.
Con Reputation Enabled Defense la navigazione è anche più veloce, dal momento che non è necessario scansire tutto il traffico Web alla ricerca di minacce. Fino al 50% delle scansioni degli Url possono essere evitate senza compromettere la sicurezza, col risultato di un migliore throughput del gateway e un più efficiente utilizzo delle risorse dell’appliance.
Reputation Enabled Defense è disponibile per tutte le appliance WatchGuard XTM e XCS.
