I 72 miliardi di dollari investiti in infrastrutture cloud nel 2021, tra qualche anno sembreranno addirittura pochi. Le imprese stanno infatti puntando sempre di più sul cloud spingendoci a credere che, solo in Europa, entro il 2030 gli affideranno flussi di dati 15 volte più grandi di quelli attuali. Lo afferma il recente rapporto Eurostat mettendo il cloud computing in cima alla lista dei fattori essenziali sia per la ripresa economica, sia per lo sviluppo di una solida economia dei dati europea che, entro il 2025, potrebbe valere 550 miliardi di euro.
L’Italia sarebbe tra i maggiori beneficiari e, secondo lo studio AWS “Valorizzare il potenziale digitale dell’Italia”, un incremento del 10% nell’adozione del cloud da parte delle PMI “regalerebbe” all’economia italiana 8,9 miliardi di euro. Migrando poi il 10% dei sistemi IT della PA, si potrebbero risparmiare altri 87 milioni di euro all’anno.
Prospettive allettanti a cui guardare con ottimismo, visto che, anche dopo la corsa al cloud del 2020 causata dalla pandemia, l’uso del cloud computing è cresciuto del 5% tra le imprese europee, nel 2021. Ad affermarlo ricercatori I-Com indicando tra i più frequenti utilizzi i servizi di posta elettronica (79%) e di storing di file (66%) ma anche quelli più sofisticati, per esempio il deployment di applicazioni security (58%), o l’hosting di database (46%).
L’obiettivo è quasi sempre quello di ottimizzare l’utilizzo delle risorse e costruire modelli di business e strategie di crescita sfruttando il momento. Nonostante il contesto geopolitico turbolento, infatti, la legge sui servizi digitali e la strategia europea sui dati, affiancate alle nuove pratiche commerciali digitali, creano un contesto quasi ideale per accelerare la produttività e l’occupazione.
Responsabilità condivisa: una prova di fiducia e di intesa tra utente e cloud provider
Nella migrazione al cloud, concetti come quelli di ridondanza e di cloud managed services hanno creato in una consistente fetta di mercato l’illusione di poter cedere al cloud provider tutte le responsabilità in termini di sicurezza e protezione dati. Un equivoco pericoloso che trova soluzione nel “Modello di Responsabilità Condivisa”, il modello sviluppato da Amazon Web Services per rendere più chiaro dove risiede la responsabilità per la sicurezza e la compliance tra utente e provider. Non ne esiste una versione unica, ogni volta è un framework che va personalizzato identificando i ruoli giocati tra fornitore e utente e incoraggiandone la collaborazione per garantire una copertura completa dei relativi controlli di sicurezza.
Questo approccio presenta importanti vantaggi per l’utente che, rispetto al contesto on premise, ha meno oneri e doveri e può far leva sulle competenze e i controlli di sicurezza attuati dal cloud service provider per proteggersi al meglio. Non mancano, però, anche le sfide, soprattutto relative alla instaurazione di un circolo virtuoso di fiducia, trasparenza e comunicazione tra provider, consumer e autorità di cybersecurity. Importanti anche quelle relative alle aree più a rischio cybersecurity come la robustezza dei sistemi operativi e il network.
Il provider è responsabile di tutta l’infrastruttura cloud, sia a livello fisico che di virtualizzazione. È suo compito proporre inoltre dei servizi gestiti, dedicati o precostituiti, per migliorare la capacità dell’utente di soddisfare i requisiti fondamentali di sicurezza, riservatezza e conformità. Sotto la sua responsabilità ricadono infatti tutti i dati creati o caricati sul cloud, le applicazioni, le credenziali, le configurazioni e le eventuali connessioni esterne.
Non è previsto nessuno “scarico di responsabilità”, da parte dell’utente, quindi: la soluzione sta nel collaborare al meglio con il cloud provider e, prima ancora, nello scegliere quello con un approccio di sharing responsibility adeguato alle proprie esigenze e competenze.
“Grazie a una profonda comprensione dei molteplici controlli di sicurezza, congiuntamente a una accurata comprensione delle tematiche relative alla privacy, AWS ha sviluppato un’offerta che mette nelle mani delle organizzazioni un’ampia gamma di strumenti efficaci e facilmente fruibili. In questo modo viene facilitata una migrazione al cloud nel pieno rispetto dei requisiti di sicurezza, conformità e di privacy e coerente con le singole aree della responsabilità condivisa” spiega Giuseppe Russo, Security Assurance Manager di AWS Italia.
L’utente, aggiunge Russo, diventa così in grado di “decidere dove saranno elaborati i dati e le informazioni che ha migrato in cloud, come essi sono protetti da sguardi indiscreti mediante tecniche crittografiche e chi può accedervi. Con AWS Identity and Access Management (IAM) può gestire l’accesso ai servizi e alle risorse AWS, con AWS CloudTrail e Amazon Macie occuparsi di compliance, rilevamento e verifica, e con AWS CloudHSM e AWS Key Management Service (KMS) generare e gestire in modo sicuro le chiavi di crittografia, preziosa anche per la privacy, grazie alla possibilità di implementare soluzioni come ‘Bring Your Own Key’”.
“Alziamo continuamente il livello di protezione in questo ambito anche con servizi di controllo di accesso avanzato e registrazione di log, implementando processi coerenti e scalabili e fornendo un’ampia varietà di documenti su best practices, formazione e linee guida. E poi ci sono il Contratto clienti AWS, l’AWS GDPR Data Processing Addendum (AWS GDPR DPA) e la enucleazione delle Caratteristiche di privacy dei servizi AWS, che contengono informazioni chiare, trasparenti, accessibili e utili a effettuare valutazioni sul trasferimento dei dati alla luce della decisione Schrems II e alle seguenti raccomandazioni del Comitato europeo per la protezione dei dati. Tutti questi strumenti risultano fondamentali per arrivare a una responsabilità condivisa di successo” aggiunge Russo.
Cloud provider, potenziali alleati per la sovranità digitale europea
L’importanza di una comunicazione tempestiva e corretta nella strategia di AWS emerge anche in uno degli ambiti più delicati, quello della sovranità dei dati. L’Italia ospita una delle sue Regioni europee, arrivate oggi a 5, che ogni utente può selezionare come residenza dei propri dati.
“I dati risiedono unicamente nella Regione selezionata del cliente e non verranno trasferiti senza il suo consenso. Inoltre, per applicazioni conformi al GDPR, l’utente ha la possibilità di utilizzare le ‘policy basate su identità’ di AWS Identity and Access Management (IAM) e le ‘policy di bucket’ di Amazon Simple Storage Service (Amazon S3) per rifiutare o controllare l’accesso alle risorse AWS fuori dalla UE, continuando a soddisfare i massimi livelli di sicurezza, conformità e protezione dei dati” sottolinea Russo.
Oltre ad aderire ai principali programmi europei in materia di sovranità digitale, tra cui il Codice di Condotta Cloud Infrastructure Services Providers in Europe (CISPE), European Commission Standard Contractual Clauses (SCC), il Codice di Condotta SWIPO e GAIA-X, AWS ha sviluppato una strategia di supporto volta a minimizzare i disagi legati all’attuale incompiutezza del quadro legislativo per il trasferimento di dati dall’UE agli USA.
Nelle vesti di “esportatore” di dati, un cloud provider può supportare le aziende coinvolte e favorire il rispetto della data privacy dei cittadini europei in diverse fasi. Nel mappare i trasferimenti in modo che siano adeguati e limitati a quanto strettamente necessario. Nel verificare lo strumento utilizzato e nell’esaminare le leggi o le prassi dei paesi terzi che possono lederne l’efficacia. Nel valutare, adottare e aggiornare l’applicazione di misure organizzative supplementari, tecniche o contrattuali, passaggio necessario per assicurare che il livello di data protection sia sostanzialmente equivalente allo standard SEE, soprattutto da quando la Corte di Giustizia dell’Unione europea (CGUE) ha invalidato il Privacy Shield UE-USA nella sua decisione Schrems II nel luglio 2020.
“Copriamo tutte queste fasi con un’ampia gamma di servizi gestiti ed è il massimo che un provider possa fare, oggi, per proteggere riservatezza, integrità e disponibilità dei dati, a prescindere dalla regione selezionata dal cliente. Vogliamo affiancare le organizzazioni europee perché possano continuare a fare business nonostante le lacune normative” afferma Russo. E precisa come AWS, in questo ambito, abbia ottenuto certificazioni e riconoscimenti, tra cui ISO 27001 e ISO 27017 per la sicurezza del cloud, ISO 27701 (che specifica i requisiti e le linee guida per stabilire e migliorare continuamente il Sistema di gestione delle informazioni sulla privacy (PIMS), compreso il trattamento delle informazioni di identificazione personale (PII)), e ISO 27018 per la privacy del cloud. Un modo per rafforzare la fiducia degli utenti in attesa di un quadro giuridico definitivo.
“Guardiamo con favore al Data Privacy Framework concordato per ora solo in linea di principio tra UE e USA la scorsa primavera. Speriamo rafforzi le protezioni della privacy nei flussi di dati transatlantici integrando le garanzie che AWS e altre aziende già offrono oggi” aggiunge Russo. “Ci auguriamo lo faccia in tempi ragionevoli mettendo fine a una situazione di incertezza che dura da anni”.
