GUIDA ALLA SCELTA

Servizi cloud e sicurezza dei dati: ecco i rischi (e le opportunità) per le aziende

I servizi cloud offrono facilità d’uso e flessibilità di configurazione e dimensionamento, ma introducono nuovi rischi per la sicurezza dei dati. Ecco le giuste valutazioni da fare per scegliere il servizio cloud più adatto alle esigenze della propria azienda

Pubblicato il 28 Gen 2019

Mauro Cosmi

Cybersecurity and Privacy Consultant & Advisor

servizi cloud e sicurezza dei dati la guida

Il modello cloud introduce, oltre alle indubbie opportunità, anche nuovi rischi per la sicurezza dei dati per le aziende dovuti a molteplici fattori quali:

  • la difficoltà di controllo dell’affidabilità e dei livelli di sicurezza offerti dai cloud provider e dalle loro terze parti;
  • la condivisione “multi tenant” delle infrastrutture del provider tra più clienti;
  • l’ubicazione geografica distribuita dei dati, spesso difficile da determinare, con le conseguenti problematiche di compliance privacy legate e differenti normative nazionali in tema di protezione dei dati personali;
  • la difficoltà di definire e, non ultimo, far accettare clausole di sicurezza “personalizzate” nei contratti con i provider.

Un altro fattore da tenere in considerazione è la distribuzione delle responsabilità tra cliente e fornitore in tema di adozione e gestione delle misure di sicurezza, che varia in funzione del modello di servizio. I servizi cloud vengono infatti erogati dal cloud provider secondo tre diversi modelli che determinano la suddivisione delle responsabilità per gli aspetti di cyber security tra cliente e fornitore del servizio:

  • IaaS (Infrastructure as a Service): il provider offre “in affitto” un’infrastruttura ICT, comprensiva di capacità di calcolo e storage su server virtuali distribuiti presso numerosi data center e reti di comunicazione, mentre il resto (sistema operativo, middleware e applicazioni) è a cura del cliente;
  • PaaS (Platform as a Service): il provider fornisce ai clienti una piattaforma on demand (capacità di calcolo, middleware, storage, sistemi operativi) per costruire applicazioni e servizi;
  • SaaS (Software as a Service): è il modello di servizio più completo, che consente al cliente di utilizzare dei servizi chiavi in mano.

Per questo motivo alcuni dei principali cloud service provider come Microsoft e Amazon AWS hanno pubblicato i loro documenti tecnici che illustrano il modello di suddivisione delle responsabilità e includono gli aspetti di sicurezza. Come emerge chiaramente dal modello definito da Gartner, le responsabilità in tema di sicurezza coinvolgono sempre di più il cliente spostandosi dal modello IaaS a quello PaaS e infine al SaaS.

Gli aspetti di sicurezza da valutare

Consolidata la scelta di ricorrere a una soluzione cloud rispetto all’approccio “on premise”, un’azienda deve affrontare la fase di selezione del servizio/soluzione/fornitore che meglio garantisce la copertura delle proprie esigenze. Ed è proprio in questa fase che devono essere valutati sia la “maturità” dei possibili fornitori in tema di cyber security, sia i livelli di sicurezza garantiti dalle possibili soluzioni. I principali aspetti da valutare sono i seguenti, articolati per macro aree:

  • Governance: include gli aspetti utili a valutare la “maturità” del cloud provider in tema di cyber security. Fanno parte di questa categoria: policy, framework di cyber security management system, processi per la gestione dei rischi di sicurezza, sia interni sia legati alla catena dei sub-fornitori, selezione, sensibilizzazione e formazione del personale;
  • Compliance: consente di valutare la capacità del provider di soddisfare i requisiti di conformità a leggi, regolamenti e standard di riferimento per il cliente. Include tipicamente la conformità alle normative privacy (ad esempio, il GDPR), l’ubicazione geografica dei data center e di conseguenza dei dati, eventuali coperture assicurative nel caso di data breach e la disponibilità a fornire evidenze di conformità a standard e regolamenti.
  • Business Continuity: consente di valutare la capacità del provider di garantire la continuità dei servizi offerti e la disponibilità delle operazioni e dei dati. Include aspetti quali la disponibilità di procedure e di soluzioni tecniche (facility, sistemi, reti, backup ecc., fino alla disponibilità di siti di disaster recovery) atte a coprire scenari di crisi di diversa natura e portata, dal guasto limitato al disastro esteso, dovuti sia a eventi naturali che ad azioni deliberate o errori;
  • Infrastructure Security: include le misure di sicurezza fisica e ambientale (dal controllo degli accessi fisici a impianti anti-incendio e allagamento), di sicurezza delle reti (segmentazione, sicurezza perimetrale, accessi remoti sicuri, IDS/IPS ecc.) e delle architetture di virtualizzazione (ad esempio, multi tenancy per segregare i dati di clienti diversi);
  • Identity & Access Management: fanno parte di questa categoria le misure per il controllo degli accessi logici a sistemi, apparati, servizi e applicazioni, sia da parte del personale del provider per finalità di gestione sia da parte degli utenti dei clienti per accedere a servizi e dati. Include soluzioni di user e password management, strong authentication, nonché la capacità di integrazione con i sistemi di user management dei clienti;
  • Data Protection: consente di valutare la capacità del provider di proteggere i dati dei clienti da accessi e modifiche non autorizzati. Include la crittografia sia dei dati memorizzati “at rest” sia di quelli in transito (ad esempio a/da i sistemi dei clienti), le procedure di gestione delle chiavi crittografiche (key management), le soluzioni/procedure di backup e restore e la gestione/restituzione dei dati alla cessazione dei contratti;
  • Host, Middleware & Application Security: include le misure per la sicurezza dei server fisici, quali antivirus, hardening e patching, del middleware (quali API security, database security) e delle applicazioni (adozione di best practice di sviluppo di codice sicuro, web application firewall -WAF, code inspecting ecc.);
  • Operation & Monitoring: include procedure di patch management, interventi di vulnerability assessment, il tracciamento, il monitoraggio dei log, strumenti e procedure per la gestione e la notifica degli incidenti di sicurezza.

Una fonte di riferimento è costituita dalla Cloud Security Alliance (CSA), un’organizzazione no-profit con la missione di “promote the use of best practices for providing security assurance within Cloud Computing”. In particolare la Cloud Security Alliance ha sviluppato la matrice Cloud Controls Matrix (CCM) che definisce i controlli di sicurezza applicabili a un servizio cloud, organizzati in 13 “control domain” (ad esempio, Governance and Risk Management, Identity & Access Management) e per modello di servizio (SaaS, PaaS, IaaS).

Selezionare il fornitore e i servizi cloud

Per affrontare efficacemente la fase di selezione di una soluzione cloud-based è opportuno predisporre checklist e questionari di supporto, che consentono di produrre degli “scoring model” personalizzati da utilizzarsi, a seconda delle esigenze:

  • per la qualificazione e/o la selezione dei cloud provider in relazione ai “livelli di maturità” in tema di cyber security governance;
  • per la scelta della soluzione che meglio indirizza le esigenze di sicurezza, in base alla criticità delle informazioni trattate e agli impatti negativi per l’azienda in caso di “data breach”.

Le informazioni raccolte tramite i questionari sono anche utili ai fini di formalizzazione dei requisiti di cyber security nella forma di allegati ai contratti di servizio. Per questi ultimi aspetti è bene non dimenticare che la distribuzione delle responsabilità tra cliente e fornitore in tema di adozione e gestione delle misure di sicurezza può variare in funzione del modello di servizio, come evidenziato in precedenza.

Costi ridotti e nuovi rischi

Ricorrere al cloud computing per la realizzazione di nuovi servizi informatici, se da una parte consente alle aziende di ridurre i costi grazie al modello pay-per-use, dall’altra introduce, rispetto alle soluzioni on-premise, nuovi rischi per la sicurezza dei dati, che devono essere attentamente valutati e indirizzati, scegliendo il binomio soluzione/provider più adeguato e prevedendo opportune clausole contrattuali che regolamentino il rapporto cliente-fornitore indirizzando adeguatamente i rischi cyber.

New call-to-action

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati