I servizi cloud, e in particolare i modelli di fruizione dell'IT come il Software (SaaS), il Platform (PaaS) e l'Infrastructure (IaaS) as a Service stanno conquistando consensi crescenti all'interno delle aziende, anche quando si tratta di processi e applicazioni business critical. Chi opta per queste soluzioni deve, però, valutare con attenzione le diverse offerte, anche sotto il profilo delle certificazioni fornite. Il rischio, infatti, è di vanificare il lavoro e gli sforzi compiuti per rendere la propria impresa conforme a standard oggi imprescindibili, come quelli che disciplinano la continuità del servizio, la sicurezza e i principi d'integrità e riservatezza dei dati.

Scegliere la nuvola restando compliant

A seconda del settore di attività di un'azienda, spesso la direzione IT deve stabilire quali certificazioni conseguire, per dimostrare l'aderenza a determinati standard qualitativi, di settore o tecnologici. Occorre documentare metodologie e processi scrivendoli e memorizzandoli con formati conformi alle specifiche e ciò richiede un notevole dispendio di energie – e, spesso, anche il ricorso ai costosi servizi di società di consulenza.

Tuttavia, gli investimenti che l'organizzazione ha fatto per raggiungere le certificazioni - e dimostrare, ad esempio, la conformità con i requisiti imposti dalle normative vigenti nel proprio settore - possono essere compromessi nel momento in cui l'impresa in questione, anziché sfruttare i propri ambienti IT on premise e processi già conformi, decide di "esternalizzare" alcuni servizi applicativi, avvalendosi di un cloud provider.

Questa eventualità può verificarsi nel caso in cui la società che eroga il servizio non sia in grado di fornire prove della propria compliance con i requisiti richiesti o non permetta lo svolgimento delle necessarie attività di verifica da parte dell'azienda utente. Quest'ultima, prima di scegliere i servizi applicativi di un provider, dovrebbe infatti attuare i dovuti controlli, per assicurarsi che il fornitore sia dotato di tutte le certificazioni del caso.

Le "insidie" dei servizi non certificati

Le certificazioni internazionali più note fanno riferimento alla galassia ISO (International Organization for Standardization), ente normatore svizzero tra i più influenti in materia. In ambito cloud, una delle certificazioni più importanti è la ISO 27001, che disciplina la gestione in sicurezza delle informazioni. Dal momento che la maggior parte dei dati è custodita, oggi, su supporti informatici, ogni organizzazione deve essere in grado di garantire l'integrità, la riservatezza e la disponibilità dei propri dati anche nel caso in cui questi non siano fisicamente presenti all'interno dei propri data center ma gestiti nella nuvola da un provider esterno. La certificazione del fornitore di servizi cloud sulla base della specifica ISO 27001 è particolarmente apprezzata dai clienti che operano in alcuni settori "information sensitive" come le assicurazioni, il banking, la finanza e la PA, ma si tratta di una discriminante che influenza la scelta del fornitore d'elezione per i servizi cloud anche nelle organizzazioni di dimensioni più piccole o di quelle che operano in settori più tradizionali.

La tutela dei dati (sensibili e non)

Sul piano della sicurezza, una soluzione cloud non certificata ISO 27001 non fornisce garanzie sulla riservatezza dei dati sensibili, come quelli relativi a prezzi, offerte, valore dei contratti e quant'altro. Lo standard ISO 27001 impone, invece, requisiti di sicurezza informatica da soddisfare ai diversi livelli dell'organizzazione: tutela, quindi, sia il livello fisico dell'infrastruttura - come gli impianti di sorveglianza e il controllo degli accessi al data center, le misure antincendio, i sistemi ridondati a livello di alimentazione e condizionamento - sia la sicurezza logica del software e dell'applicazione, tramite meccanismi come la cifratura dei dati, le tecnologie di autenticazione e quelle di protezione dalle violazioni. A ciò si aggiungono i requisiti di tutela dei processi nei quali interagiscono i team di sviluppo, installazione e manutenzione del software. 

L'importanza di un servizio ininterrotto

Tornando ai requisiti di tutela dell'infrastruttura fisica, un'altra certificazione importante è la Tier IV dell'Uptime Institute. Il protocollo in questione permette di valutare la resilienza di un data center, quindi la sua capacità di garantire la continuità (e la non interruzione) dei servizi erogati. Tra le varie cose, definisce con il livello Tier IV la massima ridondanza del sistema, a garanzia della più elevata continuità del servizio. Questo significa che il cloud provider è in grado di dimostrare la propria capacità di evitare interruzioni nei servizi erogati anche a fronte di guasti tecnici (la cosiddetta fault tolerance), perché tutto il CED è stato progettato (si parla a proposito di "design documents") e realizzato (si parla a proposito di "constructed facility") - in termini di ubicazione, aspetti architettonici, sicurezza perimetrale, sistemi antincendio, impianti di alimentazione/condizionamento, reti dati e quant'altro - in modo da assicurare la continuità operativa in ogni evenienza, anche a fronte di incidenti tecnici gravi. Questo livello corrisponde a una disponibilità del servizio pari al 99,995% - ovvero al massimo 48 minuti di interruzione/down in un anno.

Le specifiche più recenti

A livello più generale vi sono, poi, altre certificazioni più recenti, la cui verifica è certamente consigliabile in fase di valutazione e selezione dei fornitori. Tra le più interessanti, la ISO 27018, che disciplina le misure da adottare per la protezione delle informazioni personali identificabili (PII - Personally Identifiable Information), in accordo con i principi della tutela della privacy. Si tratta del primo codice di condotta internazionale focalizzato in modo preciso sulla tutela dei dati personali negli ambienti cloud. Si basa sulla specifica ISO 27002, che fissa i requisiti minimi di protezione delle informazioni e definisce le linee guida per l'implementazione dei controlli di sicurezza che permettono l'identificazione specifica (personale) degli utenti di un servizio di nuvola pubblica.
 

14 ottobre 2016