Nella valutazione dei servizi cloud computing si devono considerare le opportunità offerte da tale modello di approvvigionamento dei servizi IT rispetto all’efficacia ed efficienza dei meccanismi di gestione della sicurezza offerti dal CSP. È quindi importante che vengano ben identificati gli ambiti di valutazione, ovvero è necessario porsi preliminarmente le seguenti domande: 1. Quali specifici rischi e minacce sono connaturati nella scelta di un determinato servizio? 2. Quali garanzie devono essere fornite dal CSP ? Pertanto si possono definire due macro ambiti in cui concentrare le valutazioni: l’ambito dei rischi e l’ambito delle garanzie.
Nell’ambito dei rischi il CSC deve valutare i seguenti aspetti:
- reputazione, storia e sostenibilità del CSP
- leggi applicabili e conformità legale allocazione di ruoli e responsabilità tra CSP and CSC
- diritto di auditing
- accesso di terze parti alle informazioni sensibili e riservate
- segregazione dei dati tra clienti (in particolare nei cloud di tipo pubblico)
- accessibilità dei dati e dei servizi (qualità del trasporto dati dell’architettura dell’infrastruttura cloud)
- portabilità dei dati e delle applicazioni
- Interoperabilità ed integrazione
- cancellazione sicura e in tempi definiti dei dati
Nell’ambito delle garanzie il CSC deve valutare i seguenti aspetti:
- Trasparenza - il CSP deve dimostrare l’esistenza di sistemi di controllo robusti ed efficaci e che le informazioni dell’utente siano ben protette da accessi non autorizzati
- Privacy - il CSP deve applicare leggi e norme sul trattamento dei dati sensibili, di gestire adeguatamente (su contratto) diritti ed obblighi in materia di notifiche di incidenti, trasferimento dati, cambi di ruoli e accessi ai dati da parte delle forze dell’ordine. Particolare attenzione sulla gestione del flusso transnazionale delle informazioni.
- Conformità - il CSP deve supportare l’azienda cliente ad effettuare gli audit sulla conformità a leggi e/o norme di settore che interessano i dati trasferiti nel cloud
- Certificazioni - il CSP dovrebbe dare evidenza di audit di terze parti o report adeguati sulla corretta esecuzione dei servizi in cloud
- Contratto – tra altre cose, come ad esempio la definizione di Service Level Agreements e penali per la non rispondenza, il contratto deve contemplare il caso in cui siano necessarie delle modifiche delle compliance (es. Nuove regolamentazioni di Privacy o di settore) con modalità non punitive per il cliente e considerare anche il diritto all’Audit.