maggio 2012
office automation
75
delle nostre imprese. Quando si parla in particolare
di rispetto della privacy dei dati, la sicurezza degli
ambienti cloud va gestita prendendo in considera-
zione molteplici aspetti: legali, contrattuali, orga-
nizzativi, di analisi dei rischi, di audit e tecnologici.
In questo senso lo studio, personalizzato per il no-
stro mercato, costituisce anche un supporto meto-
dologico per le imprese che debbano affrontare que-
ste tematiche.
“Per quanto riguarda le proposte della Nuvola Ita-
liana indirizzate verso la clientela business e per le
piccole medie imprese, Telecom Italia ha predi-
sposto una serie di servizi cloud per i quali sono
stati preventivamente studiati e valutati, tramite
analisi di rischio dedicate, gli aspetti che riguardano
sia la sicurezza del dato che la compliance – illustra
Enzo Mario Bagnacani. Le metodologie adottate
sono le stesse che Telecom Italia ha utilizzato per
proteggere le proprie infrastrutture informatiche
interne e sono le stesse previste dai principali mo-
delli di certificazione (ISO/IEC 27000). Per quanto
riguarda invece le proposte rivolte alle aziende di
dimensioni medio-grandi, spesso le architetture IT
dedicate del cliente si combinano, in configura-
zioni ibride, con i servizi cloud della Nuvola Ita-
liana. Questi scenari sono in genere gestiti con pro-
getti ad hoc. In questi casi Telecom Italia mette a
disposizione le proprie competenze, gli strumenti e
l’esperienza per costruire l’analisi del rischio e per
gestire, a progetto, il relativo Piano di Sicurezza. In
generale nella Nuvola Italiana, sia per i servizi ri-
volti alle piccole imprese sia per quelli dedicati alle
grandi aziende, vengono effettuati periodici asses-
sment di sicurezza, con lo scopo di verificare l’ade-
guatezza e l’eventuale aggiornamento delle solu-
zioni adottate.
3
La localizzazione fisica dei dati. Quando si opera nel
cloud, probabilmente, non si vuole nemmeno sapere
dove sono ospitati i dati. Invece occorre fare molta at-
tenzione a questo punto e richiedere per contratto di poter loca-
lizzare i dati sotto specifiche giurisdizioni, per evitare i problemi
di non conformità con i dettami legislativi.
4
Analogamente a quanto scritto nel punto precedente,
poiché i dati sono depositati in ambienti eterogenei,
tipicamente usati anche da altri clienti, il provider de-
ve assicurare un perimetro di segregazione per ciascun domi-
nio, ricorrendo a tecniche di criptazione se necessario. Questi
meccanismi, insieme a tutti gli schemi e al profilo degli specia-
listi utilizzati, devono essere noti: gli incidenti di criptazione
rendono i dati totalmente inutilizzabili e anche la normale
operazione di criptazione può influire sulla disponibilità dei
dati stessi.
5
Lo stesso provider deve rendere edotto il cliente sui
meccanismi di recovery previsti in caso di disastro.
Ogni offerta che non replica i dati e l’infrastrut-
tura applicativa su più siti aumenta la vulnerabilità e lo SLA
che viene proposto deve specificare i tempi previsti per il
ripristino.
6
In caso di attività inappropriate o illegali, l’azienda
cliente deve poter ricevere adeguato supporto investiga-
tivo, visto che i logging e i dati di molteplici clienti pos-
sono essere ricollocati in tempo reale in configurazioni sempre
diverse degli stessi data center.
7
Esiste sempre un serio pericolo di affidabilità nel lun-
go periodo del provider, che può incorrere in acquisi-
zioni più o meno ostili o fare bancarotta. Anche in
questi casi l’azienda cliente deve avere la certezza che i suoi
dati rimangano disponibili e deve essere prevista contrattual-
mente una via di recupero degli stessi e di rimpiazzo del servi-
zio applicativo.
