LA RIFLESSIONE

Servizi di collaboration e uso del cloud, dopo l’abolizione del Privacy Shield: quali scenari

I servizi di collaboration, soprattutto in tempi di smart working, offrono indubbi vantaggi alle aziende. L’uso del cloud, però, impone alcune riflessioni in merito alla governance dei dati, soprattutto alla luce di un recente rapporto dell’EDPS e dell’abolizione del Privacy Shield. Proviamo a delineare alcuni possibili scenari

06 Ott 2020
C
Marco Crociani

Company security Governance - Lead Auditor 27001 Member of AIPSI (Italian Chapter of ISSA)


In molti, soprattutto in quest’ultimo periodo, abbiamo potuto apprezzare i servizi di collaboration fruibili attraverso il cloud. Tali servizi permettono la condivisione di file, offrono canali di chat per gruppi di lavoro e consentono di disporre di sistemi di comunicazioni in varie forme (audio, video webinar o web conference).

Fattore sicuramente molto apprezzato è, poi, la modalità di utilizzo via cloud: ovvero accessibile da tutti e spesso e volentieri da ovunque (a meno dei problemi di banda non sempre di valore accettabile) e che ha permesso di poter utilizzare la modalità di “lavoro remoto”.

Ed è proprio sull’uso del cloud per i servizi di collaboration che è utile fare alcune riflessioni, soprattutto alla luce di un recente rapporto dell’European Data Privacy Supervisor (EDPS) e della sentenza Schrems II che ha di fatto abolito il cosiddetto “Privacy Shield”.

Servizi di collaboration e cloud: cosa sono, quali vantaggi

Nella storia, per quello che io mi ricordo siamo nei primi anni 2000, iniziò Google offrendo Gmail gratuitamente con spazio su disco gratuito e fornendo la possibilità di poter utilizzare un’area di storage. L’offerta si è poi arricchita con la possibilità di poter operare sui file di tipo Office (testi, spreadsheet e presentazioni) in modalità remota, rendendone la lavorazione indipendente dal dispositivo e dal sistema da cui si accedeva: bastava avere un browser e una buona connessione. Scoprii che era anche possibile poter condividere, usare e lavorare su di uno stesso file contemporaneamente da parte di più utenti.

Man mano, con lo sviluppo dell’idea del cloud, sempre più fornitori si sono affacciati sul mercato fornendo spazi di memorizzazione sempre più ampi e servizi di collaborazione sempre più articolati.

Aziende, anche di grandi dimensioni, hanno deciso di portare in ambienti cloud le loro infrastrutture di gestione degli applicativi Office (e-mail, spazi di memorizzazione personali, di condivisione e di comunicazione) che di fatto presentano dei problemi di gestione sia delle applicazioni che delle capacità di erogare le prestazioni nei tempi e nei modi richiesti dall’utenza.

Particolarmente utile per la gestione economica aziendale poter chiudere quel buco indeterminabile del centro di costo dell’IT in quanto, diversamente alle parti applicative, è in continua evoluzione sia negli utilizzi che nelle richieste di performance, con dei contratti di fornitura di servizi definiti in costo per utente o per Gigabyte.

I servizi office in cloud, con il corollario delle funzioni di collaboration, hanno anche permesso alle piccole organizzazioni, in cui il core-business non è IT, di poter accedere a servizi che, oltre che a soddisfare in modo rapido e agevole soluzioni alle loro necessità informative con costi facilmente quantificabili, hanno permesso anche di poter disporre dello stato dell’arte della tecnologia al pari delle organizzazioni più grandi.

Sono stati trasferiti ad una terza parte servizi come la memorizzazione, la gestione e il controllo delle informazioni “non strutturate”, quelle che non sono imbrigliate in flussi informativi definiti (es.: ERP, contabilità, gestione della produzione e degli ordini, e quindi in data-base noti e controllabili).

Servizi di collaboration e cloud: la gestione dei dati

Nel momento in cui si lascia la gestione delle proprie informazioni si delegano (o si pensa di delegare) ad un fornitore diverse responsabilità, che vanno dalla gestione della continuità operativa della sicurezza sia fisica (continuità energetica, climatizzazione, controllo accessi fisici) che informatica (backup, protezione dagli incidenti di sicurezza, dai maggiori virus, da attacchi DoS/DDoS ecc.).

Nel caso degli operatori maggiori (per es. AWS, Google, Microsoft e altri) in genere si sottoscrive un contratto di servizio di cui c’è poco, se non nulla, da discutere, già preconfezionato in cui stuoli di legali esperti hanno definito tutto il clausolario e sul quale c’è poco da contrattare e poco spazio per effettuare perfino anche controlli.

Tornando sul tema delle informazioni di tipo non strutturato, si pensa che siano informazioni che apparentemente possono essere poco importanti per il business aziendali, mentre invece possono rivelare strategie, presenza di problemi aziendali se non addirittura progetti in corso, soluzioni di problemi (magari brevetti) o, nel caso della produzione di software, repository di codice sorgente memorizzato in qualche cartella (perché… “ne tengo una copia: non si sa mai”).

Servizi di collaboration, rapporto EDPS e sentenza Schrems II

Sospendo il giudizio, che riprendo più avanti, sulla eventuale mancata o insufficiente governance delle informazioni che dovrebbe dare indicazioni su come organizzare i flussi di informazione e il loro controllo in un’azienda, mentre invece focalizzo la mia attenzione su di un tema che, se fino a poco tempo fa era in nuce, ora mi sembra che debba avere la dignità di una seria considerazione: tutti questi dati memorizzati e a riposo (quelli non più utilizzati, i file, le comunicazioni che si sono sviluppate fra i colleghi, tra i manager e la direzione, le comunicazioni dei legali, di HR al singolo dipendente) dove sono memorizzati?

Risposta più naturale a questo punto è: il cloud. Ma dove sta il cloud? Il cloud, come ben sappiamo, non è solo una connessione a Internet: è costituito da una serie di server e di spazi storage distribuiti in varie parti del mondo di cui il fornitore si fa garante della tenuta in sicurezza delle informazioni in esso contenute e della continuità del servizio.

Nelle ultime settimane mi sono balzate all’occhio due notizie a cui accennavamo all’inizio che mi hanno fatto riflettere su alcuni aspetti pratici, anche perché buona parte dei fornitori di questi servizi sono erogati da società basate negli Stati Uniti.

WHITEPAPER
Smart Working e sostenibilità: un binomio imprescindibile
Digital Transformation
Open Innovation

La prima è il rapporto dell’European Data Privacy Supervisor che solleva dubbi sulle clausole contrattuali che mettono in evidenza l’impossibilità di poter controllare la fornitura dei servizi Microsoft e quindi di poter garantire il controllo dei dati gestiti negli ambienti.

La seconda riguarda la sentenza Schrems II che di fatto ha reso invalido il Privacy Shield, ovvero l’accordo che garantiva il trattamento dei dati privacy dei cittadini dell’Unione Europea trasferiti sui server negli Stati Uniti fossero conformi al trattamento previsto dal GDPR (sentenza nel caso C-311/18[15], Schrems II, con cui la Corte di giustizia dell’Unione europea ha dichiarato invalida la decisione di esecuzione (UE) 2016/1250 della Commissione sull’adeguatezza della protezione offerta dal regime dello scudo UE – USA per la privacy).

Su entrambi gli argomenti, per quanto riguarda la privacy si è già discusso, anche su questa testata, e probabilmente si continuerà a discutere per tutte le conseguenze legali, politiche e nei rapporti internazionale che potrebbero emergere.

Personalmente sono stato assalito da un dubbio, più elementare e terra terra rispetto alle istanze già gravi di violazione della privacy: ma le informazioni aziendali, quelle non strutturate che in qualche modo stanno ormai diventando strategiche per un’azienda e che sono state messe e condivise nei sistemi di collaboration nel cloud, come sono protette?

Chi può accedervi e farne uso ad insaputa del proprietario, dato che pare che nemmeno i più tutelati dati regolamentati dalla privacy sembra che non siano garanti come dovrebbero?

Stando ad una rapida lettura, ma veramente rapida perché io non sono un legale e quindi non mi sono soffermato sui tecnicismi legali, sia del rapporto che della sentenza mi è parso di capire che di fatto le tutele contrattualmente previste possono essere facilmente violate senza che vi sia un’autorità sovranazionale che mi possa tutelare, visto che la stessa Unione Europea solleva dei dubbi sulla possibilità di controllare l’utilizzo dei suoi dati presso questo fornitore di fatto non è UE.

Nel mio piccolo, per porre tecnicamente rimedio a questo stato di incertezza e di dubbio ho almeno due possibilità:

  • attendere che vi sia una rinegoziazione degli accordi che possano garantire un maggior controllo sui miei dati e soprattutto da parte delle autorità sovranazionali che li determinano;
  • ritirare tutti i dati dai sistemi cloud (e si disdicono i contratti), sperando che non siano già stati dati in pasto terzi interessati, e sperando anche che la clausola di possibilità di trasferimento dei dati da un operatore all’altro sia effettivamente applicata e quindi possa essere attuata ( così come far valere una sorta di diritto all’oblio con la cancellazione di tutti i dati presenti nei vari server sparsi nel mondo, sia operativi che in stand-by, inclusi backup, presenti sui sistemi di disaster recovery e tutte le duplicazioni possibili immaginabili che sono state effettuate).

Ma dove possono essere spostati?

Ci sono almeno tre possibilità, e tutte le variazioni e ibridazioni del caso.

La prima è che i dati vengono “riportati in casa”, ma questo significa che ci si deve dotare di un servizio IT adeguato, dell’infrastruttura e seguirne in continuazione l’evoluzione sia tecnologica che le necessità di manutenzione, la gestione dei guasti ed il patching.

Seconda possibilità: ci si dota di un cloud privato, si contrattualizza un servizio di infrastruttura come servizio (IAAS) su cui si organizzano le funzioni di un sistema di collaboration che servono.

Terza ipotesi: stante la situazione, trovo un fornitore europeo, con le carte in regola, che possa garantire sia lo stesso tipo di servizio sia anche la possibilità di controllo ed eventualmente di poter far valere i miei diritti almeno nell’ambito dell’Unione Europea.

I servizi di collaboration e la soluzione del cloud privato

La prima opzione può essere considerata solo se nella azienda esiste già un servizio IT interno dove magari, in tempi precedenti, era stata decisa la migrazione di questi servizi Office in cloud per potersi concentrare solo sulla aspetti strettamente produttivi.

In questo caso, sicuramente, si avrà già un’idea di costi e benefici che questa attività comporta rispetto a questo nuovo rischio emerso: sarà necessario fare una rivalutazione ed eventualmente effettuare gli investimenti necessari.

In altri casi, come la fittizia micro o piccola azienda “viti e bulloni” del signor Brambilla che ha un core business non IT, tre dipendenti e come personale di ufficio solo la signora Maria che fa da factotum per tutte le esigenze informative e di segreteria (fatture in entrata e in uscita, ordini, contabilità), tipico esempio della maggior parte della PMI italiana, questo percorso non è assolutamente pensabile. Anche perché è credibile pensare che l’infrastruttura tecnologica sia costituita da una casella e-mail, una PEC, una connessione internet e che tutto stia sul PC della signora Maria, con un servizio di backup discontinuo non applicato e diverse altre leggerezze e disaccortezze rispetto la sicurezza.

La terza ipotesi è quella che sicuramente garantisce il massimo del risultato possibile mantenendo, forse, lo status quo delle funzionalità utilizzate con il minimo disagio nel cambiamento. Sempre che la migrazione sia possibile. Rimane il fatto che la gestione della privacy ai sensi del GDPR e la riservatezza delle informazioni continua ad essere delegata ad un terzo ragionevolmente più affidabile, perché in un territorio della Unione Europea in cui vige la stessa legge per le quali si presume di aver maggiori garanzie sul rispetto delle clausole pattuite.

La seconda ipotesi è certamente più onerosa ma costringe a fare alcune considerazioni sulla governance delle informazioni (considerazioni che andrebbero fatte sempre, comunque, periodicamente, per ogni tipo di organizzazione di ogni dimensioni), sulla tipologia delle informazioni, del flusso e del controllo di distribuzione delle stesse e su quali sono i servizi che devono essere effettivamente utilizzati, prendendo in considerazione anche quelli della categoria delle “informazioni non strutturate”.

Serve maturità nell’uso dei servizi

I servizi di collaboration attualmente disponibili sul mercato offrono una vasta quantità di servizi per poter coprire tutte le necessità reali o presunte una qualsiasi tipologia di organizzazione e ciascuno identifica e usa quelle che sono utili.

Vi sono, però, disponibili anche i servizi che sono inutili per il tipo di attività svolta e quelli ridondanti, come per esempio in certi contesti avere l’uso contemporaneo di e-mail e chat. Se si usa la chat come sistema di comunicazione, non si può usare la mail per lo stesso scopo: confusione (mi è successo giusto l’altro giorno un caso simile).

Senza dire, poi, che c’è sempre qualcuno che decide di usare una funziona che usa solo lui, ma poiché è presente nella suite dei servizi disponibili si sente legittimato ad utilizzarla creando ulteriore difficoltà.

Anche se alcuni servizi sono allettanti e dovrebbero essere usati più spesso come per esempio la possibilità di editing contemporaneo sullo stesso file (diverse volte mi sarei risparmiato del tempo se, nel corso di una comunicazione telefonica per la correzione di un documento, ci fosse stata la capacità di poter lavorare più di uno stesso documento, sarebbe impiegato magari un po’ di più ma alla fine della telefonata il documento era già completo) vi deve essere la maturità per utilizzarli: si potrebbe valutare che è meglio non averli non foss’altro che per restringere il campo a comprendere solo ciò che serve (e ,citando Henry Ford, “quello che non c’è non si rompe!”).

Per realizzare questa funzionalità esistono già soluzioni che possono essere disponibili che si possono installare su un cloud privato e quindi garantirsi la possibilità di potere gestire le informazioni in autonomia (forse nel caso della “Viti e Bulloni” un servizio di assistenza qualificato sarebbe necessario) e si mantiene la proprietà ed il controllo delle informazioni.

Naturalmente si può anche decidere di non fare nulla.

Conclusioni

Ritengo che sia comunque necessario dover effettuare delle scelte: la gravità del venire meno della fiducia riposta verso i fornitori che erano, almeno idealmente, implicitamente garantiti dal Privacy Shield, richiede di sicuro, in prima istanza, una riconsiderazione delle azioni che sono state intraprese per quanto riguarda la conformità dei dati personali rispetto al GDPR; nel contempo, si potrebbe alzare l’asticella della valutazione della protezione delle informazioni strategiche che vengono scambiate attraverso i servizi di collaboration forniti da terzi.

Per fare questa operazione deve essere presente un servizio qualificato di governance delle informazioni che si occupi di governare (definire le regole ed esercitare il controllo) del flusso delle informazioni.

Quanto più le organizzazioni si stanno informatizzando (ed anche delocalizzando a causa dello “smart/remote working” attualmente in uso) tanto più le informazioni transitano su supporti digitali, tanto maggiore deve essere posta l’attenzione al controllo della loro diffusione: non si deve credere che i documenti trasformati in bit non si vedono ad occhio nudo ma ci vuole molto poco per renderli visibili se non protetti accuratamente.

Piccolo addendum: in tempi non sospetti, all’inizio del lock-down, ho provato ad installare un servizio di cloud privato, a titolo di test, su di un Raspberry Pi (un computer della dimensione di una carta di credito) sulla mia rete privata e sono riuscito a condividere file, mail, e pure a fare una video call.

Credo che sia il massimo che la potenza di calcolo che un Raspberry Pi mi permetta, ma sono rimasto stupito dalla capacità dei prodotti disponibili.

WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Backup

@RIPRODUZIONE RISERVATA

Articolo 1 di 5