“La Security è il primo problema che si pongono i clienti nell’approcciare il cloud: la paura è quella di perdere il controllo esclusivo dei dati e di non riuscire quindi più ad adottare quelle che sono le misure necessarie a garantirne integrità e riservatezza”. Lo ha detto Alessandro Sibilia, Project Manager di Gruppo Reti, intervistato da ZeroUno per indagare le criticità legate al tema cloud e sicurezza. Il manager ha subito chiarito che la questione centrale è, nello specifico, la compliance: “I dubbi del cliente riguardano generalmente la capacità, da parte del fornitore del servizio, di gestire i dati sensibili in conformità alle normative inerenti lo specifico settore aziendale di riferimento”, spiega Sibilia, che poi specifica: “L’esigenza è in particolare la trasparenza: il cliente ha bisogno di poter richiedere e ottenere tutti i dettagli tecnologici e procedurali legati alla gestione dei propri dati”.
Per poter rispondere adeguatamente a questo bisogno di informazione – e così rassicurare i clienti – hanno un ruolo fondamentale le certificazioni. Il manager ha ricordato la ISO 27018, emanata lo scorso agosto, volta specificatamente a garantire, da parte dei provider di public cloud, il rispetto dei principi e delle norme privacy dettate dalla Direttiva 95/46/CE (testo di riferimento, a livello europeo, in materia di protezione dei dati personali). Attraverso la verifica delle certificazioni del provider, le garanzie che si possono ottenere sono alte, difficilmente replicabili soprattutto in realtà medio piccole: “Predisporre un ambiente che sia adeguatamente tutelato dalle intrusioni sia fisiche e che logiche non è semplice”, dice Sibilia, che ricorda le prassi che invece vengono scrupolosamente seguite da molti provider quando si tratta di garantire processi sicuri, che impediscano a una singola persona di avere eccessivi privilegi a livello di accesso combinato fisico e logico ai sistemi, e consentendogli solo procedure autorizzate, monitorate e temporalmente limitate.
Esistono ovviamente settori dove la gestione della compliance si fa più complessa; Sibilia cita l’ambito Finance, quindi quello sanitario: “Il fascicolo sanitario, per esempio, può essere trattato a livello cloud ma solo su server della comunità europea e solo se sono garantiti particolari criteri di cifratura. Esistono poi normative che inibiscono totalmente l’uso della nuvola pubblica: in caso di trattamento di dati genetici devo per forza trovare altre strade”. Il manager, a proposito di questi settori più difficili, segnala l’impossibilità di chiedere ai provider personalizzazioni che un modello As a service, basato appunto sul concetto di servizio standard, non può soddisfare, ma quindi ricorda che esistono valide possibilità alternative da valutare, come la nuvola ibrida. Nel variegato panorama normativo, chi, come la stessa Gruppo Reti, fa consulenza, si deve quindi porre l’obiettivo primario di conoscere il business dei propri clienti e con esso le regole che devono rispettare; solo così si potrà consigliare il provider e la soluzione effettivamente più adatta.