Security as a Service e cloud
Un altro aspetto determinante nel nuovo scenario della sicurezza è quello legato alla crescente diffusione dell'utilizzo di risorse IT sotto forma di servizio o nel cloud.
Tra queste vi è anche l'interesse per la Security as a Service che può prevedere sia il demandare in toto gli aspetti inerenti la sicurezza al provider su cloud sia farlo in modo parziale o limitato nel tempo, alimentata da una parte dalla complessità del tema dal punto di vista tecnologico e della gestione e, dall'altra, dalla complessità legislativa, che rende difficile per chi non abbia alle spalle un team dedicato alla sicurezza, districarsi tra leggi, norme, responsabilità.
Ai service provider specializzati nel fornire soluzioni di sicurezza a livello applicativo e infrastrutturale e in grado di proteggere i dati sia quando vengono trasmessi o fruiti dalle applicazioni sia quando sono memorizzati in silos informativi o elaborate dai server andrebbero perlomeno richiesti tre requisiti critici.
Il primo è la disponibilità di policy, procedure e standard da adottare e cioè la possibilità di acquistare oltre ai servizi software anche le capacità umane necessarie per disporre del necessario supporto nello sviluppare i servizi necessari sulla base della specificità aziendale, a partire da una approfondita valutazione delle policy esistenti e della loro efficacia.
Il secondo è l’esistenza di un framework di riferimento che permetta di traslare le policy e le procedure in servizi reali applicabili alle attività di business, fornire informazioni parziali e globali inerenti il livello di sicurezza esistente, nonché fornire una visione sul grado di efficacia delle specifiche policy e procedure attivate.
L'ultimo è di fornire adeguati servizi di Security Services Management che permettano di fondere in un unico insieme le attività di business e di sicurezza. Ciò può essere ottenuto mediante funzioni di sicurezza e la possibilità di sviluppare un modello di Governance e di valutazione dei risultati dello specifico ambiente business.
I problemi della conformità normativa
Strettamente connesso alla sicurezza dei dati nel cloud vi è il tema delle diverse normative delle varie nazioni in cui questi dati possono venirsi a trovare memorizzati fisicamente. Il problema deriva come al solito dal fatto che queste normative sono anche molto differenti e quello che è permesso in una nazione non lo è in un’altra.
Per esempio la normativa derivante dall’attuazione del USA PATRIOT ACT (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) del 26 ottobre 2001, prorogato fino a giugno 2015, rende in sostanza obbligatorio per le società statunitensi, nonché per le loro controllate a livello globale, per gli hosting provider americani o hosting provider europei affiliati a società statunitensi, di consentire l’accesso a ogni dato personale da parte delle agenzie di intelligence degli Stati Uniti. In particolare, osserva l’analisi, la sezione 215 del Patriot Act e le sezioni 504, 505 e 358 autorizzerebbero le ricerche sia sotto la supervisione di un giudice sia senza.
Le disposizioni del Patriot Act risulterebbero incompatibili con la tutela e gli obblighi di riservatezza dell’Unione Europea che ha promulgato leggi per la protezione dei dati personali. Tra queste la direttiva 95/46/CE del Parlamento e del Consiglio europeo del 24 ottobre 1995, che richiama i principi secondo i quali i sistemi di elaborazione dei dati sono stati sviluppati per servire l’uomo e devono, a prescindere dalla nazionalità e dal luogo di residenza delle persone fisiche, rispettarne la libertà e i diritti fondamentali, in particolare il diritto alla privacy.