Due parole sulla sicurezza dei servizi di Cloud Pubblico

Il dibattito sulla sicurezza e la privacy per quanto riguarda i servizi di Cloud Pubblico è quanto mai attuale. Direi che questo, e quello della larga banda ,sono i temi più discussi ma, mentre sulla larga banda ci sono dei ritardi oggettivi nella diffusione delle infrastrutture e negli investimenti in tal senso, per quanto riguarda la Sicurezza e Privacy molte delle percezioni degli utilizzatori sono dovute secondo noi alla novità dei servizi ed all’enfasi che la legislazione italiana ha posto su questo tema, che a reali rischi superiori a quelli dell’ICT tradizionale.

Innanzitutto bisogna distinguere tra  Sicurezza dei dati e Privacy dei dati anche se i due argomenti sono collegati, nel senso che nel momento in cui i miei dati sono trafugati viene a mancare anche la Privacy. La sicurezza è fatta da diversi aspetti, che non sono solamente sistemistici ma anche umani oltre che di ambiente fisico ed accessibilità di esso. Premetto che non sono qui per esaurire “da esperto” le tematiche della sicurezza informatica, ma per dare qualche spunto di riflessione che  da uomo di business, come responsabile di azienda e utilizzatore dei servizi Cloud ritengo opportuno condividere.

Io come molti di voi utilizzo regolarmente l’Internet Banking e faccio acquisti su Internet. Ammetto che con le normali protezioni ed il buon senso fortunatamente non  sono mai stato colpito da truffe gravi . Unica truffa che ricordo, con l’utilizzo della carta di credito non online, l’ebbi da un taxista del nord Europa, che a fronte di un pagamento manuale, modificò la ricevuta, ma quella volta fui rimborsato dalla società American Express.

La comodità delle transazioni finanziarie elettroniche e della consultazione dei propri dati di traffico telefonico ed economici, oltre che anagrafici con gli istituti di credito, le società di servizi utility e la pubblica amministrazione sono ormai entrati nel patrimonio comune dei cittadini, che utilizzano internet in modo attivo.

La tranquillità del trasposto delle informazioni criptate con il protocollo https è apprezzato da tutti  e non crea ulteriori discussioni, dal momento che i vantaggi di Internet in questo senso sono così enormi che chi comincia non può farne a meno.

Perché allora, mi chiedo, dovrei indugiare ad utilizzare la email di Exchange fornita da Microsoft o i servizi di riunione virtuale o ancora il repository documentale remoto forniti da professionisti e preferire la sicurezza dell’infrastruttura “casalinga”, che, con investimenti limitati potrei permettermi nella mia azienda? La domanda che ognuno deve farsi è questa!

Non ci sono dubbi che i sistemi di sicurezza degli operatori professionali sono di gran lunga più sofisticati di quelli aziendali della maggior parte delle organizzazioni private, ma, mentre alle banche, alle società di telecomunicazioni, persino alla Pubblica Amministrazione ci siamo abituati, a ricevere ICT via internet, invece di farcela in casa, no.

La Privacy poi è normata ancora di più dalle indicazioni del garante italiano che a volte non considerano aspetti delle regolamentazioni internazionali che apparentemente meno stringenti tengono conto di aspetti meno provinciali. Faccio un esempio su tutti: mentre la normativa italiana obbliga a dichiarare i gestori dei sistemi di mail in outsourcing in termini di contatti di persone, la normativa per la certificazione internazionale considerando meglio il problema del terrorismo per evitare che tali persone o le loro famiglie siano ricattati non cita questo obbligo anzi consiglia di nascondere l’identità di chi ha accesso ai repository dei dati di un data center. I dati di Privacy poi in molti casi sono molto meno sensibili dei dati finanziari  che senza paura scambiamo giornalmente con gli istituti finanziari. Ci siamo mai chiesti se anche i loro data center hanno tutte le certificazioni richieste per essere considerati super sicuri?

E’ evidente che gli operatori professionali si sono dotati di tutte le certificazioni del proprio paese e del continente dove operano per potere offrire un servizio globale, ma non è così scontato, Microsoft lo è perché ha data center nei vari continenti, consiglio di verificare gli alti operatori.

Più che della Sicurezza e della Privacy nel rapporto con gli operatori di Cloud pubblico è fondamentale comprendere bene le modalità di recupero dei propri dati e di migrazione nel caso si voglia cambiare operatore o tornare indietro con infrastrutture in casa. Inoltre interessante può essere approfondire i livelli di servizio e le penalità in caso non siano rispettati anche se per quello che è la mia esperienza diretta questa tipologia di servizi è molto più affidabile della maggior parte dei server di posta aziendali anche delle grandi aziende dove ho lavorato.

Un buon riferimento per l’approfondimento delle certificazioni e delle normative internazionali lo trovare QUI, buona lettura.