Foto di fdecomite rilasciata sotto licenza cc https://www.flickr.com/photos/fdecomite/1444011872

Modello Cloud, vantaggi e rischi: perché dobbiamo fare attenzione alla sicurezza

di Fabio Lazzini, responsabile Security Governance e Privacy, Sogei – Cantiere Sicurezza digitale

La trasformazione digitale è un elemento strategico per le Pubbliche Amministrazioni, che interagiscono con i cittadini secondo un modello innovativo ed evoluto di erogazione di beni e servizi. Questa nuova visione pone il focus sul cittadino e i suoi dati personali, attraverso un approccio al patrimonio di informazioni gestite, che deve garantire in ogni momento la protezione dei dati e la sicurezza dei servizi.

Il processo di digitalizzazione si attua attraverso l’analisi e la valutazione di differenti soluzioni applicative ed infrastrutturali, tra cui sicuramente, il modello operativo del cloud computing.

Questo modello operativo è tanto “trendy” quanto discusso: da una parte supporta la crescita rapida dei servizi della Pubblica Amministrazione secondo criteri di semplificazione, con uno schema agile in grado di soddisfare le esigenze in tempi rapidi; dall’altra deve risultare allineato sia alle normative nazionali sia a quelle UE ed extra-UE, garantendo un livello di sicurezza dei dati e delle informazioni uniforme, all’interno dei diversi contesti nazionali.

Il quadro normativo europeo che regolamenta la protezione dei dati e delle informazioni è stato caratterizzato, fino a poco tempo fa, da una frammentazione nelle legislazioni nazionali, anche a livello sanzionatorio, e dall’incertezza sulle modalità di applicazione delle misure all’interno dei diversi contesti dell’Unione. “[…] La compresenza di diversi livelli di protezione dei diritti e delle libertà delle persone fisiche, in particolare del diritto alla protezione dei dati personali, con riguardo al trattamento di tali dati negli Stati membri può  ostacolare  la  libera  circolazione  dei  dati  personali  all’interno  dell’Unione.  Tali differenze possono pertanto costituire un freno all’esercizio delle attività economiche su scala dell’Unione, falsare la concorrenza e impedire alle autorità nazionali di adempiere agli obblighi loro derivanti dal diritto dell’Unione. […]”1

In risposta a tali considerazioni, le istituzioni e le principali organizzazioni mondiali, che operano anche in ambito nazionale e comunitario, hanno avviato una serie di iniziative volte ad incrementare il livello di attenzione sui temi della privacy e della sicurezza nei cambiamenti dell’era digitale, legati principalmente al cloud e alla libera circolazione delle persone e, di conseguenza, dei dati tra gli Stati Membri; tra queste il GDPR (General Data Protection Regulation) per la protezione dei dati personali e il CSA-CCM (Cloud Security Alliance-Cloud Controls Matrix) per la sicurezza nel cloud, stanno agevolando una più consapevole applicazione delle misure di protezione e possono essere considerati due riferimenti per valutare attentamente le criticità e i rischi per la sicurezza e la privacy, prima di decidere di esternalizzare la gestione dei dati o adottare nuovi modelli organizzativi.

Con  l’entrata  in  vigore del  GDPR  la  Pubblica  Amministrazione deve  adottare  regole precise che rafforzano i diritti dei cittadini europei e deve tenere conto delle esigenze di tutela dei dati personali, sempre più avvertite dal singolo. La Pubblica Amministrazione deve, di conseguenza, rivoluzionare la logica e le modalità fino ad oggi seguite e considerare la protezione dei dati personali non più come un mero adempimento di legge, quanto piuttosto un elemento costitutivo ed imprescindibile di qualsiasi attività posta in essere (privacy e sicurezza by default), fin dalla fase di progettazione di un nuovo servizio o di un nuovo prodotto (privacy e sicurezza by design). “[…] Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. […]2

Per supportare la Pubblica Amministrazione e, di conseguenza, i fornitori di servizi in cloud nelle attività di analisi e valutazione delle misure di sicurezza adeguate ai rischi, è intervenuta la CSA (Cloud Security Alliance), una delle principali organizzazioni mondiali, espressamente dedicata alla definizione e promozione delle best practice per la sicurezza dei servizi di elaborazione in cloud e che coinvolge industria, realtà pubbliche e private, pur mantenendo neutralità dai fornitori. La CSA promuove un programma di certificazione denominato STAR (Security, Trust & Assurance Registry – STAR), basato sull’utilizzo di un framework di requisiti di sicurezza applicati al cloud, denominato CCM (Cloud Controls Matrix). I requisiti di sicurezza sono mappati sui principali standard, best practice e regolamenti riconosciuti a livello mondiale (es. ISO27001, ISO27002, ISO27017, 270018, COBIT, NIST, Direttiva 95/46/EC, etc ) e sono riportati anche in forma di questionario, in modo da supportare anche le attività di self assessment di conformità.

La presenza di standard, regolamenti e normative di riferimento in un unico framework permette di avere un approccio di multicompliance, che è l’elemento fondamentale e aggregante per effettuare una valutazioni dei requisiti di sicurezza con una visione ampia e non limitata a particolari aspetti.

Il  framework  inoltre,  per  essere  allineato  al  nuovo  GDPR,  deve  essere  affiancato dall’analisi integrata dei requisiti di sicurezza e da una valutazione dei rischi, che fornisca un punto di riferimento unico per l’identificazione delle criticità per specifici ambiti.

In particolare, in un contesto di evoluzione dei servizi digitali, risulta fondamentale considerare i principi della privacy e sicurezza by design e by default anche nel ciclo di sviluppo del software dei servizi cloud.

Con un modello integrato di privacy e sicurezza la Pubblica Amministrazione può valutare il livello di rischio, di conformità e di maturità della sicurezza per diversi contesti operativi, quali il cloud, in modo semplice, omogeneo e uniforme, identificando le principali criticità di  sicurezza,  supportando  le  iniziative  di  miglioramento  e  dimostrando  ai  cittadini  la grande sensibilità posta dalla Pubblica Amministrazione alla protezione dei dati personali e alla normativa comunitaria.

 


1 REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), considerando (9).

2 REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), considerando (83).

 

 

 

Foto di fdecomite rilasciata sotto licenza cc https://www.flickr.com/photos/fdecomite/1444011872