Cloud computing, il punto sulla sicurezza

Paola Fusco

L’agenzia europea per la ’cybersicurezza’ ENISA ha diffuso una nuova relazione sull’uso del cloud computing a livello governativo. La relazione è rivolta ai dirigenti di organismi pubblici che devono prendere una decisione in termini di sicurezza e resilienza, nel valutare le modalità di un’eventuale adozione del sistema cloud. Lo scopo principale della relazione è sostenere gli organismi pubblici nel prendere decisioni basate su rischi calcolati, che riguardano la sicurezza dei dati, la resilienza del servizio e la conformità legale nel processo di adozione del sistema cloud. Essa evidenzia inoltre i pro e i contro della sicurezza e resilienza dei servizi di cloud computing pubblici, privati o comunitari per gli organismi pubblici. "La nuova relazione rappresenta un modello decisionale per i dirigenti, volto a determinare le soluzioni di cloud migliori dal punto di vista della sicurezza e della resilienza", spiega Daniele Catteddu, autore della relazione. Nel testo sono illustrate e spiegate in dettaglio le diverse fasi del modello decisionale, con quattro applicazioni esemplificative (i servizi elettronici di assistenza sanitaria, le procedure amministrative elettroniche, l’e-mail e le applicazioni per le risorse umane). Le analisi e le conclusioni sono basate principalmente su tre scenari, che descrivono la migrazione verso il cloud computing di un’Autorità Sanitaria e di un’amministrazione pubblica locale e la creazione di infrastrutture cloud a livello governativo. L’Agenzia conclude che i servizi di cloud privati e comunitari sembrano le soluzioni più confacenti alle esigenze delle pubbliche amministrazioni che mirano a ottenere i massimi livelli di data governance. Se un’infrastruttura cloud privata o comunitaria non raggiunge la necessaria massa critica, la maggior parte dei benefici di resilienza e di sicurezza del modello cloud non verrà realizzata. "Il cloud pubblico offre un altissimo livello di affidabilità del servizio ed è il più vantaggioso dal punto di vista dei costi", ha commentato Udo Helmbrecht, Direttore Esecutivo di ENISA. "Tuttavia, al momento la sua adozione dovrebbe essere limitata ad applicazioni non sensibili o non critiche, nel contesto di una strategia ben definita di adattamento al cloud e con una chiara strategia di uscita". La relazione presenta diverse raccomandazioni a governi e organismi pubblici, tra le quali: – I governi nazionali e le istituzioni dell’UE dovrebbero studiare il concetto di un cloud a livello governativo per l’UE. – Il cloud computing servirà presto una parte significativa dei cittadini, delle PMI e delle amministrazioni pubbliche nell’UE. I governi nazionali dovrebbero preparare una strategia in materia di cloud computing e studiare il ruolo che il cloud computing giocherà per la protezione delle infrastrutture critiche informatizzate(CIIP). – Una strategia nazionale di cloud computing dovrebbe affrontare gli effetti dell’interoperabilità e delle interdipendenze nazionali e sovranazionali, i guasti a cascata, e includere i cloud provider nei sistemi di segnalazione previsti dagli articoli 4 e 13 della nuova Direttiva quadro sulle telecomunicazioni (http://europa.eu/legislation_summaries/internal_market/single_market_services/l24216a_en.htm).