Nell’era digitale, la sicurezza dei dati nel cloud è una priorità assoluta, specialmente per la Pubblica Amministrazione. Per tutelarla il Polo Strategico Nazionale adotta il modello di responsabilità condivisa per la sicurezza (Shared Security Responsibility Model – Ssrm), un framework che delinea chiaramente le responsabilità tra il provider di servizi cloud e l’utente finale.
Indice degli argomenti
Il responsabile della sicurezza nel cloud
Nel Ssrm, il Polo Strategico Nazionale è responsabile della sicurezza “del” cloud, gestendo le infrastrutture fisiche come server, rete e data center. D’altra parte, la Pubblica Amministrazione, come utente, si occupa della sicurezza “nel” cloud, che include la protezione dei dati, le configurazioni di sicurezza delle applicazioni e il controllo degli accessi. Questa divisione di compiti assicura che nessun aspetto della sicurezza sia trascurato.
L’approccio “Shared By Default” implica una trasparenza e coordinamento continuo tra le parti, garantendo che tutti i livelli di sicurezza siano compresi e attuati efficacemente. Questo modello di collaborazione non solo risponde alle esigenze immediate di governance della sicurezza in contesti complessi, ma pone anche le basi per una resilienza digitale a lungo termine.
Le Matrici di Responsabilità
Le Matrici di Responsabilità Condivisa sono strumenti essenziali nella gestione della sicurezza dei servizi cloud, specialmente tra enti come le Amministrazioni pubbliche e fornitori come il Polo Strategico Nazionale. Queste Matrici delineano con precisione i compiti e le responsabilità di ogni parte, migliorando la coordinazione e l’efficacia nell’attuazione delle strategie di sicurezza.
Ogni Matrice di Responsabilità Condivisa deriva da un’analisi dettagliata, verificata tramite audit interni e esterni. Utilizza il Questionario Caiq, che dettaglia specificamente le misure di sicurezza adottate dal Psn come provider e le direttive di sicurezza fornite alla Pubblica Amministrazione per gestire i propri ambiti di competenza. Inoltre, i servizi principali offerti nel catalogo sono stati organizzati in cluster per migliorare la governance del servizio, basandosi sulla similitudine dei loro modelli di erogazione.
Sono una guida chiara per la governance della sicurezza e promuovono un’azione coordinata e una responsabilità reciproca, garantendo un ambiente cloud sicuro e ben gestito.
I principi base dell’approccio Shared By Default
L’approccio “Shared By Default” si fonda su quattro principi fondamentali per una gestione ottimale della sicurezza nei servizi cloud:
Trasparenza
Assicura che sia la Pubblica Amministrazione sia il Polo Strategico Nazionale conoscano precisamente le loro responsabilità in ogni area del servizio.
Integrazione
Permette al Polo Strategico Nazionale di offrire servizi aggiuntivi per rafforzare la sicurezza laddove è responsabilità della Pubblica Amministrazione.
Coordinamento
Crea un dialogo su misura con vari interlocutori per una gestione efficace della sicurezza.
Misurazione
Utilizza standard condivisi per valutare la maturità della sicurezza, garantendo una base uniforme per l’avanzamento sicuro dei servizi cloud.
Quando ritenere i propri dati al sicuro?
Le Amministrazioni possono considerare i loro dati al sicuro quando sono protetti da misure di sicurezza fisica e cibernetica ben definite e rigorosamente applicate. Il Polo Strategico Nazionale garantisce la protezione fisica attraverso Data Center avanzati, equipaggiati con sistemi antintrusione, sensori di protezione perimetrale e videosorveglianza, accessibili solo a personale autorizzato.
A livello cibernetico, la sicurezza è rafforzata mediante crittografia avanzata, la gestione proattiva tramite Security Operation Center (Soc) e Computer Emergency Response Team (Cert), e l’osservanza di standard come Iso/Iec 27001 e Iso 22301. Inoltre, l’approccio “Shared By Default” e lo Shared Security Responsibility Model promuovono una responsabilità condivisa e trasparente tra il provider e l’utente finale, assicurando una gestione efficace e coordinata della sicurezza dei dati nel cloud.
