IT, esternalizzare è inevitabile

FRONTE DEL CLOUD/1

Nella migrazione al cloud non mancano gli interrogativi relativi alla security. Ma gli strumenti per affrontarli ci sono. E lo Stato può fare molto

di Antonio Dini
Google ha lanciato la sua offerta: computer portatile e sistema operativo come servizio alle aziende, a 28 dollari al mese (20 per le università). L’offerta di Google è legata al suo nuovo sistema operativo Chrome OS e rende quasi superfluo l’uso del computer: il pc è infatti privato del disco rigido e sullo schermo campeggia solo un browser, perché tutti i dati e i software sono accessibili dalla rete. È un ulteriore segnale della pervasività delle offerte che negli ultimi cinque anni hanno visto crescere il mercato del cloud computing: servizi di archiviazione dati a distanza, servizi esternalizzati di gestione delle infrastrutture informatiche, software “noleggiato” come servizio a richiesta e non più venduto con licenza d’uso, gestione di tutti i servizi informatici.

Ma che cosa comprano in realtà le aziende quando pagano per usare il cloud computing? Dipende dalla tipologia di servizi: le buone prassi del settore, al di là delle singole offerte, mirano a fornire contratti nel cui cuore ci sono accordi sul livello del servizio (Service level agreement). Accordi cioè che garantiscano una serie di elementi: dall’effettiva disponibilità del servizio alla garanzia di sicurezza e privacy nella gestione dei dati del cliente, sino alla velocità e scalabilità del servizio stesso.

Sono accordi nati negli anni Ottanta nel mercato delle offerte aziendali da parte degli operatori di telefonia fissa e adesso sono diventati uno standard in quasi tutti i settori della vendita dei servizi.
“Uno dei passi più importanti - spiega Feliciano Intini, responsabile dei programmi di Sicurezza e Privacy di Microsoft Italia - è far capire ai clienti che nei nostri servizi operiamo bene e che possiamo certificarlo con soggetti terzi: ad esempio lo standard è la certificazione Iso 27001, ma c’è anche la Fisma, che viene richiesta da tutte le agenzie governative Usa per accettare un servizio da un fornitore di tecnologia.

Poi, ciascun fornitore mette in piedi la sua offerta. Dal punto di vista della sicurezza, ad esempio, la nostra è basata sul fatto che c’è una difesa delle informazioni per ciascun livello: da quello fisico ai sistemi operativi e poi agli applicativi e via dicendo. Infine, è importante riflettere la qualità dell’offerta anche in sede contrattuale: negli accordi sul livello del servizio è previsto, se mai si dovesse scendere sotto il 99,99% di disponibilità su base annuale, un sostanziale rimborso economico”.

Il punto centrale del cloud computing è l’esternalizzazione: che siano i server, le risorse di calcolo o il luogo fisico dell’archiviazione dei dati, comunque l’idea stessa del cloud ha alla base l’idea che ci sia qualcosa che non è più all’interno del perimetro dell’azienda, ma viene gestito esternamente. E questo apre una serie di problematiche: dove sono i dati, a quale legislazione sono sottoposte le informazioni se i server sono all’estero, in che modo vengono gestite, quali soluzioni tecnologiche usano i fornitori del servizio.

I rischi sono quelli della perdita di controllo nella governance delle tecnologie aziendali, di lock-in con un singolo fornitore, di mancato adeguamento alle normative, di protezione dei dati inefficace e di incapacità di garantire la loro eliminazione completa quando richiesto.
“Chi si occupa dell’argomento dai tempi in cui il cloud non esisteva - dice Intini -, vede in queste situazioni per la cybersicurezza l’opportunità di raggiungere finalmente l’attenzione del regolatore e del politico che devono in qualche modo metterla nell’agenda nazionale. Il cloud (e la protezione delle infrastrutture critiche nazionali) non apre nuovi problemi, ma offre l’occasione di trattarli come meritano”.

La situazione da questo punto di vista, nel nostro Paese, è particolare: “In Italia - conclude Intini - non c’è una normativa particolare. Però c’è un Garante della privacy molto attento e attivo, tra i più attivi in Europa, che contribuisce molto definire l’evoluzione della normativa sul trattamento dati a livello europeo. In questo siamo tra i più avanzati. Tuttavia, per la cybersecurity e l’agenda governativa, ho paura che ancora non sia stata data la giusta attenzione all’argomento. E neanche io ho ancora ben chiaro quali siano i soggetti istituzionali investiti dell’autorità per fare proposte più operative”. In Europa è allo studio la normativa per uniformare il trattamento dei dati relativi a un cittadino europeo in maniera tale che venga sempre seguita la normativa Ue, risolvendo così parte dei problemi relativi alle regole applicabili alle informazioni quando queste vengano spostate fisicamente in datacenter di paesi al di fuori della Comunità.

23 Maggio 2011