Logo Tom's Hardware

Sicurezza e Cloud - Parte terza - Sicurezza nel Cloud e aspetti normativi

Salvare dati sensibili nel Cloud implica considerazioni sulla loro allocazione fisica, perché le normative dei diversi paesi sono anche profondamente differenti e possono non garantire la riservatezza richiesta

Avatar di Giuseppe Saccardi

a cura di Giuseppe Saccardi

Nelle prime due puntate abbiamo preso in esame aspetti generali connessi alla sicurezza nel Cloud e ai servizi di Security as a Service erogati via Cloud. Ma quali sono gli elementi ideali che dovrebbero caratterizzare un servizio di sicurezza per l’ambito Cloud Enterprise? Perlomeno tre sono gli aspetti che si evidenziano come particolarmente critici:

Intervenendo in queste tre aree fondamentali è possibile personalizzare il sistema di sicurezza in modo che risponda alle specifiche necessità di un’azienda e del suo modo di condurre il business e fare in modo che l’approccio basato sul Cloud diventi un’efficace leva competitiva.

La riservatezza dei dati e i problemi normativi

Ma c'è un altro aspetto connesso alla sicurezza dei dati nel cloud: quello delle diverse normative delle varie nazioni in cui questi dati possono essere  memorizzati fisicamente.

Il problema deriva come al solito dal fatto che queste normative sono anche molto differenti e quello che è permesso in una nazione non lo è in un’altra. ?Cosa avviene in questo caso dei dati personali o di quelli di pertinenza di una azienda, o, detto diversamente, cosa potrebbe avvenire?

Una analisi interessante in proposito è stata realizzata da EasyVista, una società che ha sviluppato una soluzione Security as a Service. L’analisi è stata condotta in base alla considerazione che vi è la predominanza di player in ambito Sicurezza su Cloud che operano o sono presenti con sedi locali sul territorio degli Stati Uniti, e di conseguenza risulta fondamentale considerare i rischi a cui questi vanno incontro rispetto a quanto previsto dal “Patriot Act”, al contrario di quanto accade invece per le società di software e i provider SaaS europei o con sedi in Europa.

L’analisi ha evidenziato come la normativa derivante dall’attuazione del USA PATRIOT ACT del 26 ottobre 2001, prorogato fino a giugno 2015, rende in sostanza obbligatorio per le società statunitensi, nonché per le loro controllate world wide, per gli hosting provider americani o hosting provider europei affiliati a società statunitensi, di consentire l’accesso a ogni dato personale da parte delle agenzie di intelligence degli Stati Uniti. In particolare, osserva l’analisi, alcune sezioni del Patriot Act autorizzerebbero le ricerche sia sotto la supervisione di un giudice sia senza.

Per quanto concerne l’Europa, l’Unione Europea ha emanato a sua volta leggi per la protezione dei dati personali e specifiche direttive richiamano i principi secondo i quali i sistemi di elaborazione dei dati sono stati sviluppati per servire l’uomo e devono, a prescindere dalla nazionalità e dal luogo di residenza delle persone fisiche, rispettarne la libertà e i diritti fondamentali, in particolare il diritto alla privacy.

Il meccanismo è stato messo in atto per salvaguardare le aziende nel caso di flusso di dati tra aziende americane ed europee e, osserva l’analisi, il sistema è basato sull’autocertificazione delle imprese americane, che devono rispettare una serie di requisiti per la protezione dei dati personali e per la tutela della privacy.

Differenze tra le due  normative e tempi di loro emanazione, fanno  però si che la protezione dei dati garantita da quelle europee sia incerto se si applichino o meno per i loro dati sul territorio USA,e questo vale anche per il Cloud.

La conclusione dell’analisi è che, così come stanno le cose, le disposizioni del Patriot Act, risulterebbero incompatibili con la tutela e gli obblighi di riservatezza dell’Unione Europea. Come è facile osservare la questione è complessa e non a caso quello della sicurezza e della riservatezza dei dati è uno degli argomenti affrontati con maggior frequenza nell’ambito del Cloud.

    • La disponibilità di policy, procedure e standard da adottare e cioè la possibilità di acquistare oltre ai servizi software anche le capacità umane necessarie per disporre del supporto nello sviluppare i servizi sulla base della specificità aziendale, a partire da una approfondita valutazione delle policy esistenti e della loro efficacia.
    • L’esistenza di un framework di riferimento che permetta di traslare le policy e le procedure in servizi reali applicabili alle attività di business, fornire informazioni parziali e globali inerenti il livello di sicurezza esistente, nonché dare visibilità sul grado di efficacia delle specifiche policy e delle procedure attivate.
    • Adeguati servizi di Security Services Management che permettano di fondere in un unico insieme le attività di business e di sicurezza.

Leggi altri articoli