Affidare i dati della propria azienda ad un servizio cloud può sembrare a prima vista la soluzione più comoda ed economica. Ma, la scelta non sempre può essere scevra da rischi. In questo articolo vediamo da dove partire per scegliere un il miglior servizio cloud facendosi le 10 domande giuste.
Il fenomeno del Cloud
In questi ultimi anni, complice anche la pandemia che ha accelerato tutti i processi di decentralizzazione dei servizi e dei lavoratori in smartworking, abbiamo assistito ad una vera e propria esplosione del fenomeno cloud.
Sempre più aziende, dalle più grandi alle PMI, si sono affidate o pensano di affidarsi a soluzioni, provider e servizi cloud, sia per quanto riguarda le applicazioni Saas (software-as-a-service) che come recovery dei dati, backup e disaster recovery tramite servizi Paas (platform-as-a-service).
Tuttavia, non tutti i cloud possono rivelarsi all’altezza della situazione, e non sempre possono garantire elevati standard di sicurezza e far dormire sonni tranquilli ai CSO.
Le incognite che possono determinare la scelta del miglior servizio cloud possono essere:
- modalità di controllo;
- trasparenza sulle modalità di gestione;
- luogo dove risiedono i dati;
- individuazione chiara della supply-chain del provider principale.
I 10 QUESITI da porsi per scegliere il CLOUD MIGLIORE
Le 10 domande che compongono questa mini-check-list non sono in ordine casuale in quanto seguono una logica sia per quanto riguarda la sequenza temporale che per l’importanza degli aspetti da valutare che possono determinare la scelta dei fattori successivi per un confronto cloud soprattutto in merito alla protezione dei dati.
1. Quali tipologie di dati si vogliono portare sul Cloud?
Ovviamente non si può che partire da qui, in quanto le tipologie di dati da mettere nella nuvola possono essere i più svariati tra cui:
- Dati economici aziendali, dati contabili e gestionali
- Dati commerciali di Clienti e Potenziali
- Dati personali (dipendenti, clienti, fornitori)
- Dati sensibili e a rischio (sanitari, bancari)
- Dati tecnici, di produzione, sviluppo
- Altre tipologie di dati
Per ognuna di queste tipologie di dati potrebbe essere necessario scegliere provider cloud che garantiscano livelli di sicurezza e di servizio diversi.
Per esempio, per quanto riguarda i dati sensibili o i dati personali, sarà necessario avvalersi di servizi cloud che possano garantire il livello massimo di protezione e sicurezza.
Se parliamo invece di dati contabili o di produzione, sarà molto importante che il cloud provider possa garantire un ripristino rapido (business continuity) in modo tale da poter riprendere le attività nel più breve tempo possibile.
2. Quale servizio cloud si adatta meglio alle esigenze dell’azienda?
Visto che sul mercato l’offerta di servizi Cloud è veramente fra le più variegate, considerando livello di servizio, prestazioni, sicurezza, servizi aggiuntivi.
Ogni azienda od organizzazione ha, indipendentemente dalla tipologia di dati che tratta, caratteristiche diverse in funzione delle dimensioni, del settore in cui opera, del numero di addetti, tipologia di prodotto/servizio che tratta, se opera sul web o meno etc.
Se vogliamo fare degli esempi, un terzista di 30 dipendenti che svolge lavorazioni meccaniche per conto di pochi clienti avrà esigenze ben diverse da una catena di cliniche private con sedi sparse in tutto il mondo.
L’importante è che si scelga il servizio cloud correttamente dimensionato e calibrato in funzione delle esigenze dell’azienda in termini di budget disponibile, sicurezza, efficacia ed efficienza.
3. Dove risiede il Cloud Provider, e i suoi Data Center dove sono dislocati?
Molti ricorderanno la faccenda Google Analytics e la sentenza Schrems della Corte Europea, con la quale si è praticamente sancita l’illegittimità di ogni trattamento che comportasse il trasferimento di dati al di fuori della UE, con particolare riferimento a paesi come gli USA dove non vengono garantite le condizioni di riservatezza e sicurezza richiesti dalla normativa GDPR.
In base a quel provvedimento, che ha letteralmente messo in subbuglio tutto il mondo del marketing digitale, ogni titolare del trattamento si deve preoccupare di assicurarsi, prima di scegliere un provider, dove ha la sua sede principale e dove risiederanno fisicamente i dati che gli affidiamo.
Per semplicità diciamo che entrambi, sede legale e datacenter, dovrebbero risiedere all’interno del territorio UE, oppure in un Paese inserito nella lista fra quelli che offrono adeguate garanzie nei confronti dei cittadini UE come, ad esempio, Svizzera, Argentina, Giappone, Canada, Israele etc e, da pochi mesi, di nuovo gli Stati Uniti, in base all’ultimo accordo raggiunto con la UE.
Questi requisiti sono fondamentali, soprattutto se parliamo di dati personali, altrimenti si rischiano sanzioni pesanti in base alle normative privacy vigenti (GDPR) ovvero, fino a 20 Milioni di €uro o il 4% del fatturato globale.
Prima quindi di affidarsi a cuor leggero ad un Cloud Provider qualsiasi, assicuriamoci che abbia delle Cloud Policy scritte (carta canta!) ben chiare e precise, dove viene indicato chiaramente dove risiedono i Data Center principali che ospiteranno i nostri dati e dove risiedono anche i Data Center di ridondanza che si occuperebbero del disaster recovery in caso di Data Breach.
4. Il provider si avvarrà di sub-fornitori?
Anche questo aspetto è abbastanza delicato e non facile da controllare per il Titolare del trattamento.
Infatti molti Cloud Provider sono in realtà operatori commerciali che offrono servizi di Data Center che non sono di loro proprietà e, a volte, questa catena di sub-fornitura può essere anche lunga e complessa da ricostruire.
Il Titolare del trattamento dati non può far occhio da mercante in merito alla qualità dei servizi ed alle garanzie che deve offrire il Provider e che devono mantenersi lungo tutta la catena di fornitura.
Ergo il Titolare deve poter conoscere e, ancora meglio approvare, anche tutti i sub-responsabili che concorrono a fornire il servizio cui fa capo il Responsabile principale (vedi Art. 28 del Regolamento GDPR), ovvero il provider con cui ha rapporto diretto di fornitura.
In definitiva, consigliamo a questo punto di controllare nel contratto di fornitura cloud e, più in particolare nella DPA (Data Processor Agreement) fra Titolare e Responsabile, se sono indicati chiaramente gli ulteriori sub-responsabili e, in caso contrario, richiedere espressamente che vengano elencati nell’accordo stesso.
Questo potrebbe essere relativamente semplice con un piccolo provider ma, quanto ci troviamo di fronte a colossi come Google, Microsoft, Amazon etc è molto più complesso ottenere certe informazioni e bisognerà affidarsi alla DPA che mettono a disposizione sui loro siti web ad integrazione del contratto, solitamente molto completa ed esaustiva.
5. Che livello di SICUREZZA può offrire il servizio Cloud?
Per quanto non sia facile stabilire il livello di sicurezza di un Data Center Cloud questa è sicuramente una delle domande più importanti da porsi.
Chiaro è che se ci si affida a fornitori molto conosciuti e diffusi a livello nazionale o mondiale probabilmente il problema non si pone ma, diverso è se si decide di affidarsi ad un servizio cloud locale.
Avere Data Center sicuri, a prova di qualsiasi rischio come incendi, alluvioni etc oltre che ovviamente a prova di attacco hacker, vuol dire disporre di budget molto alti, anche svariati milioni.
I Data Center si classificano in base ai livelli Tier da I a IV e, più alto è il livello maggiori sono le garanzie in termini di sicurezza e ripristino arrivando, con il Tier IV, fino al 99,995% di uptime garantito con un massimo di 26,3 minuti di downtime annui.
Insomma, non fidiamoci troppo dei “cantinari” a basso costo perchè, finchè va tutto bene ci si può illudere di avere risparmiato ma, i nodi vengono al pettine dal momento che succede qualcosa e, se i nostri dati sono indisponibili per lungo tempo o peggio ancora risultano irrecuperabili il nostro business potrebbe essere seriamente compromesso.
6. Quanto è accessibile e disponibile il fornitore?
Un’azienda che affida i suoi dati ad un servizio cloud deve anche porsi il problema di come viene gestito il servizio di assistenza e supporto tecnico, quanto è disponibile, efficiente e tempestivo.
Ricordiamoci che, non dover disporre di una infrastruttura Hw/Sw interna può essere una bella comodità ma, questo vantaggio verrebbe immediatamente annullato se, in occasione di interventi manutenzione, aggiornamenti o altro, se l’accesso e/o il contatto diretto col provider fossero difficoltosi.
Alcuni provider non si limitano, per esempio, ad “ospitare” solo dati (hosting) e macchine (housing), bensì offrono anche servizi sistemistici e di configurazione a supporto del reparto IT aziendale, e possono diventare realmente dei veri e propri system integrator.
Tutte queste commodity aggiuntive hanno però ovviamente un costo e bisognerà valutarne la convenienza sia in termini economici che di efficienza.
7. Quali GARANZIE può offrire il provider in caso ACCESSI NON AUTORIZZATI od USO ILLEGITTIMO dei dati?
Fermo restando che quando si parla di cybersecurity non si può mai parlare di “sistema inattaccabile” si deve anche mettere in conto che potrebbe verificarsi un Data Breach anche nel Data Center Cloud più attrezzato e blindato del mondo.
Nessuno è immune!
Quando parliamo di grandi quantità di dati ed, in particolare se questi si riferiscono a persone, il Titolare del trattamento deve sempre verificare preliminarmente col fornitore Cloud, che tratta i dati in nome e per suo conto, se vengono gestite adeguate procedure Data Breach tali da garantire in limiti di tempo accettabili la notifica da parte del Titolare entro le 72 ore stabilite per legge.
Inoltre, sempre in caso di accesso ai dati non autorizzato, il provider cloud deve essere in grado di porre in atto tutte quelle misure tecniche ed organizzative necessarie a limitare il rischio diffusione o di uso illegittimo dei dati.
Inoltre, a fronte di una eventuale chiusura del contratto di servizi cloud, il fornitore deve sempre essere in grado di restituire integralmente i dati in suo possesso e/o di cancellarli affinché non possano più essere utilizzati.
8. È disponibile una RISK ASSESSMENT?
“Non esistono misure di sicurezza senza un’analisi del rischio”
Ogni organizzazione, anche la più piccola e meno a rischio, in particolare dopo l’entrata in vigore del Regolamento GDPR per la protezione dati, deve porre in atto delle misure di sicurezza adeguate per limitare i rischi che possono compromettere la sicurezza dei dati.
E questo vale ancora di più per un Cloud Provider, che tratta enormi quantità di dati di diverse tipologie, il quale deve porsi come primo obiettivo quello di fare, prima di ogni cosa, una valutazione del rischio o risk assessment, per stabilire quali misure deve mettere in atto per ridurre al minimo i rischi relativi ai dati che gli vengono affidati dai suoi clienti.
Siccome è comunque sempre il Titolare del trattamento il primo responsabile dei dati, anche se li affida a terzi, spetta sempre a lui verificare, tramite un’analisi dei rischi, che il provider sia compliance e che quindi abbia a sua volta eseguito una risk assessment idonea.
I provider più qualificati e trasparenti rendono disponibili, a richiesta o pubblicamente sul sito, tutta la documentazione che riguarda i processi di compliance, fermo restando che, devono comunque rendersi disponibili nel caso il Titolare del trattamento decida di eseguire un Audit di seconda parte per verificare il grado di compliance.
9. Il contratto di servizi è esaustivo e trasparente?
Il contratto di servizi che si stipula con un Cloud Provider non deve solo essere una mera formalità.
Innanzitutto chiariamo subito che il contratto di servizio cloud, che potrebbe essere redatto anche in un unico documento o in più documenti separati deve contenere, oltre alle classiche condizioni economiche e contrattuali che troviamo bene o male dappertutto anche la DPA di cui abbiamo già accennato anche al punto 4.
In base all’Art.28 dello stesso GDPR, è espressamente indicato che il contratto di servizi deve contenere, oltre a tutte le informazioni di contatto relative al Titolare ed al Responsabile (provider), anche tutte quelle disposizioni e istruzioni che il Titolare ritiene di dover fornire al Responsabile affinché il trattamento dei dati non presenti rischi (vedi punto precedente).
Come già detto anche al punto 4., la sottoscrizione di una DPA fornita dal titolare potrebbe essere relativamente semplice in caso di un piccolo provider locale ma, con big company a livello mondiale come Microsoft e Google o Italiane come Aruba, Zucchetti, Register etc., può essere un tantino complicato se non praticamente impossibile.
C’è da dire che, queste aziende, se da un lato possono risultare un tantino rigide dal punto di vista contrattuale, dall’altro rendono accessibile tutto quello che serve, DPA e Risk Assessment compresi, per ottemperare a tutte le procedure che richiedono le normative privacy, semplificando ulteriormente il compito anche per i Titolari stessi.
10. Il personale del provider è istruito e autorizzato a trattare i dati?
Come recita l’Art.29 del GDPR chiunque tratti dati personali sotto l’autorità di un Titolare o di un Responsabile, in questo ultimo caso il provider Cloud, deve essere adeguatamente istruito ed autorizzato dal Titolare e dal Responsabile stesso.
“Ma cosa vuol dire questo, che dovrei andare ad istruire i dipendenti di Google?”
No, tranquilli, non c’è bisogno di arrivare a tanto, anche perché non crediamo proprio che Google e company consentano al “Pastificio Marebello di Ischia” di andare a formare i suoi dipendenti.
Dal momento che c’è una DPA, ovvero l’accordo scritto fra provider (Responsabile) e Titolare, è il provider stesso che, sottoscrivendo il documento, dichiara di aver messo in atto tutte le misure tecniche ed organizzative indicate nelle istruzioni fra cui, appunto, l’istruzione del personale al fine di garantire adeguata sicurezza e riservatezza sui dati che vengono trattati, sempre in funzione dell’analisi dei rischi.
Qualora per il Titolare non sia sufficiente la semplice formalità dell’accordo scritto tramite la DPA, non gli rimane che l’Audit di seconda parte come strumento di verifica, purtroppo non sempre di facile attuazione.
Conclusioni
Lo scenario del Cloud non è di per sé un mondo trasparente ed accessibile per la maggior parte delle organizzazioni che ne sfruttano, senza farsi troppi problemi, le enormi potenzialità ed economicità.
È proprio la mancanza di “approccio diretto”, viste anche le dimensioni e la locazione, spesso oltreoceano, di questi operatori, che scoraggia anche i più zelanti ad approfondire quello che ci sta dietro le quinte.
Il consiglio che più spesso proviene dagli esperti di sicurezza e privacy, e che ci sentiamo di sottoscrivere, è comunque sempre quello di affidarsi a provider ben conosciuti, strutturati ed organizzati dove, tutte le informazioni che servono per dimostrare che fanno le cose nel modo corretto sono già disponibili senza tanti sforzi per ottenerle.
Vuoi saperne di più su questi argomenti? Contattaci