A tre anni dall’entrata in vigore ufficiale del Regolamento UE 679/2016 (GDPR) è evidente che tutta l’attenzione verso questo tema è sfumata. La maggior parte delle organizzazioni ha sistemato alla “bene meglio” i primi documenti per “essere a posto col GDPR”. Tutta l’importanza che questo Regolamento porta con sé sembra effimera, come quasi tutte le cose moderne oserei dire. L’impressione che ho avuto dal mio punto di osservazione è che nel bel Paese in questi ultimi tempi manchi qualcosa, manchi la lungimiranza, la pianificazione di lungo periodo, la consapevolezza di chi siamo e dove vogliamo andare. E questa miopia, sono abbastanza certo che abbia colpito in primis le Istituzioni.
Di certo la pandemia, che ovviamente fa sentire il suo peso, ha forzato i lavoratori a svolgere le proprie mansioni spesso all’esterno delle organizzazioni, costringendo le imprese e gli enti pubblici fare salti acrobatici per rendere ciò possibile. Infatti, le organizzazioni hanno spinto con forza l’adozione di nuovi strumenti o tecnologie, pur non avendo le conoscenze o il personale idoneo a gestirli; sto pensando proprio al cloud. Dopo aver letto le conclusioni del Rapporto Clusit 2021, di recente pubblicazione, rimango abbastanza perplesso se lo confronto con gli obiettivi del Piano Triennale 2020-2022 per l’informatica nella Pubblica Amministrazione (PA).
Nel piano triennale di AGID ci sono alcuni obiettivi ben definiti, che dovrebbero dettare i tempi e fungere da guida per gli enti della PA nel percorso di rinnovamento digitale. Questo primo elemento preso da solo lo ritengo assolutamente positivo, perché tutti sanno che quando non c’è una scadenza imposta per un determinato obiettivo nessuno fa niente. Ho posto l’attenzione in particolar modo su un dato, ovviamente inerente al cloud. Infatti, il primo mantra che si evince da tale documento è “cloud first”, cioè gli enti appartenenti alla pubblica amministrazione devono ammodernare le proprie strutture, e nel farlo devono prediligere la migrazione dei propri servizi nel cloud; a tal fine AgID ha addirittura predisposto un albo di fornitori qualificati per garantire agli enti un certo grado di qualità.
Analizzando i dati statistici presenti nel Rapporto Clusit del 2021 invece, il tema del cloud è affrontato, ovviamente, sotto l’aspetto della sicurezza. Vorrei prendere come riferimento di base il dato del 2019, anno nel quale il 48% degli intervistati aveva ammesso di avere spostato o aveva pianificato di spostare i dati “business critical” in locale per migliorare la sicurezza dei dati.
Notiamo che, nonostante l’impulso generalizzato all’adozione del cloud, a causa della necessità di supportare lo smart working, nel 2020 questo dato ha subito un incremento significativo che l’ha visto salire fino al 62%. In pratica, non tutte le organizzazioni erano contente delle loro infrastrutture cloud. È doveroso precisare che questa analisi è stata condotta su un campione di aziende di piccole, medie e grandi dimensioni, e che queste ultime sono state le più propense in quella direzione.
Questo singolare processo di unclouding o de-clouding, che vede il rientro delle informazioni dalle piattaforme cloud verso i server aziendali, è da considerarsi un vero e proprio termometro riguardo al livello di complessità intrinseco nel cloud; oltretutto il dato è in controtendenza rispetto alle organizzazioni appartenenti alla piccola e media impresa.
A sostegno di tale scelta le grandi aziende hanno fornito ulteriori giustificazioni, riscontrate però anche presso le PMI, riassumibili prevalentemente in problemi di mantenimento dei servizi in cloud: la carenza di personale qualificato nel 52% dei casi, la mancanza di competenze in materia di sicurezza cloud nel 44% e la mancanza di budget nel 47%.
Per cercare di dare un senso a questi dati apparentemente sorprendenti mi sono posto alcune domande, ma l’unica a cui ho trovato una risposta oggettiva, o quasi, è la seguente: che cos’hanno le grandi aziende che le medio-piccole non hanno?
È risultato abbastanza semplice individuare alcuni primi tratti distintivi: gli ampi volumi di fatturato, la presenza di CISO (Chief Information Security Officer) o i CIO (Chief Information Officer) con uno staff in grado di rilevare prontamente gli eventuali problemi di sicurezza. Probabilmente anche la dotazione di strumenti di analisi e classificazione dei dati incide sugli indicatori che supportano la scelta di riportare i dati in locale.
Un ulteriore elemento di diversità potrebbe essere l’adozione di una figura quale il DPO (Data Protection Officer), che aiuta le organizzazioni a tenere alta l’attenzione e la sensibilità sul tema della sicurezza dei dati.
Il GDPR ha reso quest’ultima figura obbligatoria per gli enti pubblici (dai quali, purtroppo, viene vista il più delle volte soltanto come una casella da riempire nell’organigramma) e per alcune categorie di aziende private. Adottare tale figura rappresenta un presidio fondamentale per la protezione dei dati del quale anche aziende non obbligate dal GDPR dovrebbero considerare di dotarsi.
Di informazioni utili per iniziare a fare degli approfondimenti sul tema della sicurezza nel cloud ora se ne trovano, però al momento non sono sufficienti per portare evidenze tali che ci permettano di arrivare a delle conclusioni importanti. Di sicuro c’è, invece, che le grandi aziende hanno da sempre dimostrato di essere tra le prime a compiere quelle scelte che a distanza di anni, pochi o tanti, sono state seguite dalle medie e piccole imprese.
Pertanto, nonostante sia estremamente complicato trovare la quadra in presenza di tante variabili in gioco, penso che anche la scelta delle istituzioni centrali di forzare gli enti pubblici a migrare ed esternalizzare in cloud i propri servizi e i propri dati, lasci ampio spazio a dubbi e incertezze.
Sappiamo, infatti, che quando un’organizzazione scarsamente dotata di risorse (personale competente, denaro e tempo) viene obbligata a compiere certi passi, la stessa si ritroverà quasi sempre ad effettuare scelte dettate da poca consapevolezza e dalla fretta, che si sa essere cattiva consigliera.
Sarebbe davvero curioso fare un salto nel futuro e vedere, anche solo fra cinque anni, quante altre aziende avranno compiuto la stessa scelta delle grandi aziende che ad oggi hanno deciso di rimuovere i dati critici dal cloud.
Enrico Munaro
Consulente in materia di privacy e sicurezza informatica
Polimatica Progetti S.r.l. – Progetto Priv@cy