Compliance

Cloud computing: tante opportunità e qualche rischio

Le organizzazioni che intendono trasferire i propri dati su un cloud non possono ritenere assolti gli obblighi sulla sicurezza delegando automaticamente al gestore del cloud, ma devono documentare di aver analizzato le garanzie offerte dall’Internet Service Provider.

Pubblicato il 11 Ott 2021

Stefania Algerio

Consulente privacy Studio Athena

cloud computing


L’utilizzo della tecnologia cloud computing è entrato prepotentemente nelle piccole e medie aziende, mentre le aziende di grandi dimensioni ne usufruiscono già da tempo. Il cloud computing è la distribuzione di servizi di calcolo, come server, risorse di archiviazione, database, rete, software, analisi e intelligence, tramite Internet.

I vari tipi di cloud

Esistono diversi tipi di cloud:

  • IaaS (Infrastructure-as-a-Service)

IaaS rappresenta il componente fondamentale dell’IT basato sul cloud. In questo modello, un provider di servizi del cloud ospita i componenti dell’infrastruttura che di solito si trovano nei data center locali. Ad esempio, server, storage e hardware di networking, oltre a un ipervisore (strato di virtualizzazione), di solito si trovano in locale. Con IaaS, l’organizzazione può scegliere quando e come amministrare i carichi di lavoro, senza dover acquistare, gestire e supportare l’infrastruttura di base.

  • PaaS (Platform-as-a-service)

PaaS si basa sul modello IaaS, ma di solito è specifico degli strumenti hardware e software per lo sviluppo delle applicazioni. I provider del cloud, oltre a offrire componenti di infrastruttura, /ospitano e gestiscono sistemi operativi e middleware, necessari ai tuoi sviluppatori per la creazione e l’esecuzione delle applicazioni.

  • SaaS (Software-as-a-Services)

Con SaaS, i provider del cloud ospitano e gestiscono un’intera infrastruttura, oltre alle applicazioni degli utenti finali.

I vantaggi della tecnologia cloud computing

Avvalersi di questa tecnologia consente molti vantaggi alle aziende. La possibilità di accedere ai dati da qualunque luogo, capacità di archiviare ed elaborare un numero importante di dati. Il maggior vantaggio che possono riscontrare le aziende, dopo l’entrata in vigore del Regolamento UE 679/2016 è quello di poter usufruire di livelli di sicurezza elevati (forniti dal cloud), a costi contenuti, rispetto a quelli che si troverebbe a sostenere la singola azienda. Alcuni ritengono che il costo di un servizio cloud potrebbe essere troppo oneroso nel lungo periodo. È comunque da valutare che anche i sistemi aziendali, nel lungo periodo, potrebbero necessitare di essere rinnovati e adeguati vista la rapida obsolescenza degli stessi.

La velocità di elaborazione di enormi quantità di dati risulta essere un enorme vantaggio competitivo come da tempo hanno compreso in particolare gli istituti finanziari.

Questo massiccio utilizzo della tecnologia cloud ha fatto emergere le criticità rispetto alle richieste del GDPR sulla sicurezza dei dati e sull’individuazione dei ruoli (e quindi delle rispettive responsabilità). Ovviamente i ruoli saranno diversi a seconda del tipo di cloud utilizzato, ma è ormai universalmente riconosciuto il ruolo di Responsabile del trattamento o sub responsabile del trattamento dell’internet service provider che gestisce il cloud.

Infatti, come rilevato dall’Autorità Nazionale per la Protezione dei dati, “l’utente, affidando i dati ai sistemi di un fornitore remoto, ne perde il controllo diretto ed esclusivo; la riservatezza e la disponibilità di informazioni dipendono anche dai meccanismi di sicurezza adottati dai service provider”.

È quindi necessario analizzare in dettaglio le condizioni proposte dal fornitore e i livelli di servizio che lo stesso rende disponibili, al fine di valutare che il servizio che stiamo sottoscrivendo sia adeguato alle nostre necessità e offra livelli di sicurezza conformi al tipo di dati che intendiamo trattare tramite il servizio cloud.

Spesso, quando si acquista un servizio cloud, il nostro fornitore si avvale di una catena di sub fornitori per erogarlo. Non è semplice, per una piccola impresa che intende avvalersi di questa tecnologia, riuscire a dialogare con il service provider.

cloud computing

I rischi derivanti dall’adozione di servizi in cloud

Utilizzare un servizio cloud non adeguato può comportare delle conseguenze disastrose.

L’incendio che recentemente ha distrutto il Data Center OVH di Strasburgo, dove i danni maggiori sono stati a carico di virtual private server, o VPS, servizi a basso costo utilizzati in prevalenza di piccole imprese che non sono neppure riuscite a salvare i propri backup ed hanno subito data breach che ne hanno impedito l’operatività per parecchi giorni, deve servire da monito a chiunque intenda utilizzare un servizio cloud senza procedere a un’attenta analisi della tipologia dei servizi offerti (costi /benefici), dell’affidabilità del fornitore (competenze professionali, assunzione di responsabilità, adeguatezza delle strutture informatiche), alla disponibilità dei dati (business continuity, backup).

Il cliente deve essere in grado di conoscere la collocazione fisica dei data center utilizzati dal cloud, in particolare se i data center sono collocati all’interno o all’esterno dello spazio economico europeo. La localizzazione del data center, che potrebbe non arrivare per ragioni di sicurezza all’indirizzo esatto, deve in ogni caso consentire al cliente di conoscere l’area geografica anche per individuare l’Autorità Nazionale per la protezione dei dati personali competente.

Altro elemento da valutare è se l’internet service provider è certificato secondo gli standard UNI EN ISO. La (o le) certificazione/i posseduta/e, può fornire alle organizzazioni che intendono avvalersi del servizio, elementi importanti per valutare l’affidabilità del fornitore.

Cloud computing e privacy

Del tema cloud computing, si sono interessati a più riprese, sia il Garante per la Protezione dei dati, che l’EDPB (European Data Protection Board) proprio per il valore strategico di questa tecnologia nell’ambito della protezione dei dati personali.

A maggio di quest’anno è stato approvato il primo Codice di Condotta Europeo (art. 40 Reg.UE/679/2016) per uniformare la regolamentazione in ambito cloud. Il Codice è stato elaborato dal CISPE (Cloud Infrastructure Services Providers in Europe), che associa i più importanti service provider.

Il Codice costituisce, per i clienti delle aziende che aderiranno, la garanzia di accedere ad infrastrutture cloud affidabili che aderiscono alle procedure di trattamento e archiviazione dei dati nel totale rispetto della compliance al GDPR. Il Codice di Condotta CISPE individua le responsabilità e i ruoli sia del Service Provider che del cliente, i requisiti che deve osservare il service provider, la forma del contratto di servizio e le procedure che devono essere attuate per garantire il rispetto degli obblighi della normativa privacy (disponibilità, protezione dei dati da accessi non autorizzati, riservatezza, perdita dei dati, integrità) con adeguate misure di sicurezza.

Il Codice CISPE stabilisce un preciso perimetro entro il quale l’Internet Service Provider è responsabile della sicurezza nel contesto dell’utilizzo da parte del cliente del servizio di infrastruttura cloud. Resta infatti nella responsabilità esclusiva del cliente la” sicurezza dei sistemi operativi guest, delle applicazioni ospitate sul servizio, dei dati in transito e inattivi, delle credenziali di accesso al servizio del cliente e delle politiche di autorizzazione per il personale del cliente che utilizza il servizio”. Quindi, sarà il cliente a dover valutare, sulla base della tipologia dati che intende trattare sul cloud, del volume dei dati stessi, se i livelli di sicurezza del cloud siano o meno adeguati alle proprie esigenze. Nel caso l’Internet Service Provider utilizzi ulteriori sub responsabili per fornire il servizio richiesto, avrà la necessità di ottenere il consenso del cliente prima di consentire al sub responsabile di accedere e trattare i dati dei clienti.

Conclusioni

Concludendo, le organizzazioni che intendono trasferire i propri dati su un cloud non possono ritenere assolti gli obblighi sulla sicurezza dei dati ritenendo che queste siano delegati automaticamente al gestore del cloud, ma dovranno documentare di aver analizzato le garanzie offerte dall’Internet Service Provider che avrà provveduto a mettere a disposizione del cliente tutte le informazioni in merito ai livelli di servizio garantiti (SLA) e alle misure di sicurezza adottate e di averle ritenute adeguate ai dati e alle applicazioni che intende trasferire nel cloud.

Valuta la qualità di questo articolo

A
Stefania Algerio
Consulente privacy Studio Athena

Articoli correlati

Articolo 1 di 4