Rimandando ai numerosi riferimenti citati per approfondimenti di tipo generale su cloud e sicurezza, la presente analisi si concentra sullo scenario quello di una PA in veste di consumer di servizi cloud. Tale semplificazione è stata introdotta sulla base dei seguenti presupposti:
- la maggior parte dei rischi e dei benefici per la sicurezza introdotti dal cloud e individuati nel documento sono i medesimi per cloud consumer e cloud provider;
- le best practice suggerite sono strumenti di supporto sia per il CSC che per il CSP;
- la creazione di un cloud privato o di comunità per la pubblica amministrazione, pur dovendo basarsi sui criteri generali di sicurezza menzionati nel presente documento, richiede un studio ad hoc al fine individuare nel dettaglio requisiti e criticità.
In termini generali, le pubbliche amministrazioni devono avvicinarsi ai servizi cloud privilegiando atteggiamenti orientati alla prudenza e alla consapevolezza come suggerito, tra gli altri, dal Garante per la protezione dei personali [GAR10] ed ENISA [ENISA09] 1 . Entrambe le istituzioni raccomandano un’attenta valutazione dei rischi legati alla fruizione di servizi IT in modalità cloud computing al fine di preservare confidenzialità e integrità dei dati dei cittadini, l'integrità e la continuità dei servizi loro offerti, il loro diritto alla privacy ed infine e più in generale l’interesse e la sicurezza nazionale.
L’adozione di servizi cloud ha una grande attrattiva per i potenziali CSC per i vantaggi in termini di costo, flessibilità, elasticità e agilità, ma nel contempo, suscita anche preoccupazioni, legate a rischi, in alcuni casi reali o in altri solo percepiti, riguardo la capacità dei CSP di offrire adeguati livelli di protezione dati e delle applicazioni, controllo, affidabilità, trasparenza e conformità legale.