Logo Tom's Hardware

Una questione di SLA

Prosegue la breve analisi dedicata al tema della sicurezza cloud con una focalizzazione sul Public cloud e su alcuni aspetti normativi

Avatar di Riccardo Florio

a cura di Riccardo Florio

Una questione di SLA

Ogni decisione in merito di sicurezza è un compromesso tra costi e rischi.

Per questo motivo il trasferimento della gestione della sicurezza a un fornitore di servizi esterni trasforma le pratiche di gestione del rischio in Service Level Agreement (SLA) contrattuali valutati sulla base di parametri di riferimento specifici e oggettivi. 

Dopo aver concordato e definito gli SLA con il security service provider, l’azienda deve anche avere a disposizione gli strumenti per monitorarli attraverso strumenti di reportistica e indicatori che possono anche essere personalizzati in base alle esigenze specifiche del business. 

Per tutelare la confidenzialità dei dati, invece, è importante valutare attentamente le misure di sicurezza che il fornitore garantisce per l’allocazione nel cloud. In particolare, bisogna assicurarsi che il provider utilizzi tecniche di trasmissione sicure, con connessioni cifrate che servono a garantire la riservatezza di dati sensibili personali, oltre all’utilizzo di meccanismi di identificazione del personale autorizzato ad accedere ai dati stessi. 

Inoltre, per quanto riguarda il trattamento di particolari tipologie di dati critici è raccomandabile garantirne la sicurezza non soltanto nella fase di trasmissione, ma anche in quella di conservazione in forma cifrata sui sistemi del fornitore del servizio.

Gli aspetti legati alla sicurezza vanno considerati in fase di contrattazione anche per definire gli obblighi e le responsabilità in caso di perdita e smarrimento.

Nel caso in cui il fornitore commetta delle inadempienze o provochi lo smarrimento o il danneggiamento dei dati aziendali in sua gestione è opportuno prevedere di stabilire delle penali a suo carico. Inoltre, sempre nell’ottica di fronteggiare eventuali situazioni critiche, è bene accertarsi dell’esistenza di un piano di disaster recovery adeguato.

Non da ultima va prevista l’ipotesi in cui l’azienda decida in futuro di trasferire il servizio a un nuovo fornitore ed è quindi importante accertarsi dei tempi che intercorrono dalla scadenza del contratto alla cancellazione definitiva dei dati da parte del fornitore che li ha avuti in gestione, il quale deve garantire di non conservare i dati oltre i termini stabiliti per contratto.

Sempre nell’ottica di un passaggio a un altro fornitore è utile privilegiare i servizi che garantiscono la portabilità dei dati, quindi basati su formati e standard aperti, che facilitino la transizione da un sistema cloud a un altro, gestito da un differente fornitore.

Leggi altri articoli