cloud Archivi | Polimatica Progetti S.r.l.

Cloud o non cloud, questo è il dilemma

Enrico Munaro — Fri, 02 Apr 2021 15:50:47 +0000

A tre anni dall’entrata in vigore ufficiale del Regolamento UE 679/2016 (GDPR) è evidente che tutta l’attenzione verso questo tema è sfumata. La maggior parte delle organizzazioni ha sistemato alla “bene meglio” i primi documenti per “essere a posto col GDPR”. Tutta l’importanza che questo Regolamento porta con sé sembra effimera, come quasi tutte le cose moderne oserei dire. L’impressione che ho avuto dal mio punto di osservazione è che nel bel Paese in questi ultimi tempi manchi qualcosa, manchi la lungimiranza, la pianificazione di lungo periodo, la consapevolezza di chi siamo e dove vogliamo andare. E questa miopia, sono abbastanza certo che abbia colpito in primis le Istituzioni.

Di certo la pandemia, che ovviamente fa sentire il suo peso, ha forzato i lavoratori a svolgere le proprie mansioni spesso all’esterno delle organizzazioni, costringendo le imprese e gli enti pubblici fare salti acrobatici per rendere ciò possibile. Infatti, le organizzazioni hanno spinto con forza l’adozione di nuovi strumenti o tecnologie, pur non avendo le conoscenze o il personale idoneo a gestirli; sto pensando proprio al cloud. Dopo aver letto le conclusioni del Rapporto Clusit 2021, di recente pubblicazione, rimango abbastanza perplesso se lo confronto con gli obiettivi del Piano Triennale 2020-2022 per l’informatica nella Pubblica Amministrazione (PA).

Nel piano triennale di AGID ci sono alcuni obiettivi ben definiti, che dovrebbero dettare i tempi e fungere da guida per gli enti della PA nel percorso di rinnovamento digitale. Questo primo elemento preso da solo lo ritengo assolutamente positivo, perché tutti sanno che quando non c’è una scadenza imposta per un determinato obiettivo nessuno fa niente. Ho posto l’attenzione in particolar modo su un dato, ovviamente inerente al cloud. Infatti, il primo mantra che si evince da tale documento è “cloud first”, cioè gli enti appartenenti alla pubblica amministrazione devono ammodernare le proprie strutture, e nel farlo devono prediligere la migrazione dei propri servizi nel cloud; a tal fine AgID ha addirittura predisposto un albo di fornitori qualificati per garantire agli enti un certo grado di qualità.

Analizzando i dati statistici presenti nel Rapporto Clusit del 2021 invece, il tema del cloud è affrontato, ovviamente, sotto l’aspetto della sicurezza. Vorrei prendere come riferimento di base il dato del 2019, anno nel quale il 48% degli intervistati aveva ammesso di avere spostato o aveva pianificato di spostare i dati “business critical” in locale per migliorare la sicurezza dei dati.

Notiamo che, nonostante l’impulso generalizzato all’adozione del cloud, a causa della necessità di supportare lo smart working, nel 2020 questo dato ha subito un incremento significativo che l’ha visto salire fino al 62%. In pratica, non tutte le organizzazioni erano contente delle loro infrastrutture cloud. È doveroso precisare che questa analisi è stata condotta su un campione di aziende di piccole, medie e grandi dimensioni, e che queste ultime sono state le più propense in quella direzione.

Questo singolare processo di unclouding o de-clouding, che vede il rientro delle informazioni dalle piattaforme cloud verso i server aziendali, è da considerarsi un vero e proprio termometro riguardo al livello di complessità intrinseco nel cloud; oltretutto il dato è in controtendenza rispetto alle organizzazioni appartenenti alla piccola e media impresa.

A sostegno di tale scelta le grandi aziende hanno fornito ulteriori giustificazioni, riscontrate però anche presso le PMI, riassumibili prevalentemente in problemi di mantenimento dei servizi in cloud: la carenza di personale qualificato nel 52% dei casi, la mancanza di competenze in materia di sicurezza cloud nel 44% e la mancanza di budget nel 47%.

Per cercare di dare un senso a questi dati apparentemente sorprendenti mi sono posto alcune domande, ma l’unica a cui ho trovato una risposta oggettiva, o quasi, è la seguente: che cos’hanno le grandi aziende che le medio-piccole non hanno?

È risultato abbastanza semplice individuare alcuni primi tratti distintivi: gli ampi volumi di fatturato, la presenza di CISO (Chief Information Security Officer) o i CIO (Chief Information Officer) con uno staff in grado di rilevare prontamente gli eventuali problemi di sicurezza. Probabilmente anche la dotazione di strumenti di analisi e classificazione dei dati incide sugli indicatori che supportano la scelta di riportare i dati in locale.

Un ulteriore elemento di diversità potrebbe essere l’adozione di una figura quale il DPO (Data Protection Officer), che aiuta le organizzazioni a tenere alta l’attenzione e la sensibilità sul tema della sicurezza dei dati.

Il GDPR ha reso quest’ultima figura obbligatoria per gli enti pubblici (dai quali, purtroppo, viene vista il più delle volte soltanto come una casella da riempire nell’organigramma) e per alcune categorie di aziende private. Adottare tale figura rappresenta un presidio fondamentale per la protezione dei dati del quale anche aziende non obbligate dal GDPR dovrebbero considerare di dotarsi.

Di informazioni utili per iniziare a fare degli approfondimenti sul tema della sicurezza nel cloud ora se ne trovano, però al momento non sono sufficienti per portare evidenze tali che ci permettano di arrivare a delle conclusioni importanti. Di sicuro c’è, invece, che le grandi aziende hanno da sempre dimostrato di essere tra le prime a compiere quelle scelte che a distanza di anni, pochi o tanti, sono state seguite dalle medie e piccole imprese.

Pertanto, nonostante sia estremamente complicato trovare la quadra in presenza di tante variabili in gioco, penso che anche la scelta delle istituzioni centrali di forzare gli enti pubblici a migrare ed esternalizzare in cloud i propri servizi e i propri dati, lasci ampio spazio a dubbi e incertezze.

Sappiamo, infatti, che quando un’organizzazione scarsamente dotata di risorse (personale competente, denaro e tempo) viene obbligata a compiere certi passi, la stessa si ritroverà quasi sempre ad effettuare scelte dettate da poca consapevolezza e dalla fretta, che si sa essere cattiva consigliera.

Sarebbe davvero curioso fare un salto nel futuro e vedere, anche solo fra cinque anni, quante altre aziende avranno compiuto la stessa scelta delle grandi aziende che ad oggi hanno deciso di rimuovere i dati critici dal cloud.

Enrico Munaro

Consulente in materia di privacy e sicurezza informatica

Polimatica Progetti S.r.l. – Progetto Priv@cy

L'articolo Cloud o non cloud, questo è il dilemma proviene da Polimatica Progetti S.r.l..

Somewhere, over the cloud

Enrico Munaro — Sat, 31 Oct 2020 11:19:00 +0000

In una mattina nuvolosa mi è venuta in mente la celebre canzone cantata da Judy Garland “Over the Rainbow”, la quale mi ha ricordato una domanda che di frequente mi viene posta dai clienti: “cos’è sto Cloud, o meglio, cosa si nasconde dietro al Cloud? ” In effetti sempre più spesso si sente parlare di “piattaforme in Cloud”, “dati in Cloud”, “migrare al Cloud”; persino da AgID, col suo piano triennale 2019-2022, arriva il monito alle pubbliche amministrazioni a considerare per i suoi investimenti “first Cloud”.

Tra i servizi abitualmente forniti nel Cloud troviamo posta elettronica, software gestionali, server virtuali, ampi spazi per interi backup, e molto altro. Per l’utente finale il bello di questo tipo di servizi è che trova tutto pronto, ignorando però che dietro c’è un’infrastruttura ben più complessa. In molti si stupiranno a sentire queste parole, ma il Cloud non è una “nuvola” creata dalla natura, è artificiale, che può non essere così bella come tutti la reputano! Se guardiamo la definizione di Cloud troviamo molte varianti, materialmente altro non è che l’hardware di qualcun altro. In realtà, molti ancora non riescono ad avere un quadro chiaro della questione: proviamo a fare chiarezza.

Con il termine Cloud, o Cloud Computing, si definisce un modello di infrastruttura informatica, che ha come principale obiettivo la fornitura di servizi informatici in maniera flessibile, svincolando i fruitori da molti oneri tecnici e amministrativi. Gli obiettivi sono evidenti, e tra i molti benefici di questo modello spicca la flessibilità, perché concede alle aziende un certo grado di libertà e dinamismo, sia sul piano economico sia sul piano della velocità di implementazione. Per esempio, potendo scegliere le risorse hardware necessarie, in funzione del carico di lavoro che si trova a gestire, un’azienda può apportare modifiche quando necessario e pagando quindi ciò che realmente sfrutta.

Pensiamo a un’azienda alimentare che ogni anno debba fare i conti col problema della stagionalità, con picchi di lavoro nel periodo estate/autunno. Nel momento in cui l’azienda scelga di posizionare in Cloud il software gestionale, all’aumentare del personale, dei computer, dei macchinari e dei carichi amministrativi, potrà aumentare la potenza di calcolo, la RAM, la banda di rete disponibile, e lo spazio disco sulla “nuvola”. In inverno/primavera quando invece la produzione rallenta o si ferma, le prestazioni potranno diminuire “chiudendo i rubinetti” sulla nuvola. Pertanto si potranno pianificare vere e proprie strategie economiche. Altro beneficio importante è quello di non dover gestire internamente hardware costoso che, oltre a potersi rompere o diventare obsoleto nel giro di poco tempo, richiede una costante manutenzione da parte di personale qualificato, anche quando non viene utilizzato.

Fatte queste poche considerazioni, è doveroso fare un’attenta riflessione su ciò che troppo spesso alcune organizzazioni dimenticano di valutare, ovverosia il fornitore! Nell’era della corsa alla trasformazione digitale, in molti dimenticano che i più famosi Cloud provider sono all’esterno dell’UE, ad esempio negli USA, in contrasto con la sentenza Schrems II . Contemporaneamente, alcuni di quelli che si trovano in Europa intravedono un’opportunità di business, e in una specie di corsa agli armamenti dimenticano le dovute di misure di sicurezza, gli indispensabili piani di business continuity e le soluzioni di disaster recovery.

L’aspetto spinoso del Cloud sta dunque nella valutazione e nella scelta di un partner che dia sufficienti garanzie di affidabilità e sicurezza del servizio. In ogni ambito e contesto aziendale, dal pubblico al privato, ciò che rende possibili le collaborazioni clienti-fornitori altri non è che la fiducia e la trasparenza, ma per il mercato digitale questi semplici ma importanti valori non sono sufficienti. Tutte le organizzazioni, pubbliche o private, trattano i dati di qualcuno: cittadini, dipendenti, clienti, fornitori. I nuovi modelli organizzativi e di business sono sempre di più basati su di una stretta interazione con questi soggetti, anche attraverso l’utilizzo di tecnologie che a volte possono risultare invasive. Affinché le persone abbiano fiducia nell’utilizzare le nuove forme di comunicazione occorre garantire loro trasparenza e sicurezza nella gestione dei loro dati: per questo motivo le nuove normative in materia di protezione dei dati, in primis il Regolamento U.E. 2016/679, impongono delle tutele e garanzie proprio in relazione a trasparenza nell’informazione e sicurezza nel trattamento.

Restando sul tema del Cloud nella fattispecie, occorre considerare che il provider o fornitore è senza dubbio un Responsabile del Trattamento, e come tale deve essere inquadrato tramite un’apposita lettera di nomina (vedi art. 28 del sopracitato Regolamento). Tuttavia, nonostante nell’articolo appena richiamato siano descritti i requisiti che un buon fornitore debba rispettare, non è detto che tutti vi siano allineati; per questo motivo il Garante europeo ha inteso rafforzare nel GDPR il principio di Accountability, fornendo a tutti i Titolari del Trattamento la facoltà di controllare che i propri fornitori applichino le misure di sicurezza adeguate, almeno a quanto dichiarato in fase di stipula del contratto di fornitura del servizio.

Chiaramente l’analisi sul servizio Cloud va fatta principalmente sul piano tecnico, pertanto si raccomanda sempre ad ogni organizzazione di chiedere un parere al proprio Responsabile per la Protezione dei Dati, o del Consulente Privacy, che vi aiuterà nella valutazione degli aspetti legati all’impatto sui dati, personali o di qualsiasi altra natura.

Enrico Munaro

Consulente in materia di privacy e sicurezza informatica

Polimatica Progetti S.r.l. – Progetto Priv@cy

Delegato Federprivacy Verona

L'articolo Somewhere, over the cloud proviene da Polimatica Progetti S.r.l..