Seguire le linee-guida europee e nazionali e contribuire al loro sviluppo In termini generali, le pubbliche amministrazioni dovrebbero avvicinarsi ai servizi cloud con un atteggiamento di consapevole prudenza, come suggerito da autorevoli istituzioni pubbliche ed indipendenti quali il Garante per la protezione dei dati personali [GAR10] ed ENISA [ENISASR11, CAT09]. Vanno perciò riprese le raccomandazioni di effettuare un’attenta valutazione dei rischi legati alla fruizione di servizi cloud al fine di preservare la riservatezza e l’integrità dei dati dei cittadini, l'integrità e la continuità dei servizi offerti, il diritto alla privacy e più in generale l’interesse e la sicurezza nazionale. In particolare, tra le raccomandazioni espresse da ENISA ed attualmente in uso dal governo federale americano [NISTDOC], citiamo le seguenti: • Creazione di un catalogo dei servizi cloud idonei per la PA • Identificazione dei requisiti di sicurezza, protezione dei dati personali e resilienza del servizio • Identificazione della catena di responsabilità • Monitoraggio del rispetto dei requisiti attraverso SLA che comprendano, oltre a quelli prestazionali, parametri di sicurezza e di adattabilità (“resilienza”) • Definizione di una politica chiara circa il trasferimento dei dati all’estero • Gestione del rischio e audit • Adozione di strumenti di auditing • Incident reporting Contrattualizzare il rispetto della tutela dei dati personali Si riscontra un’obiettiva difficoltà di applicare al cloud i tradizionali schemi della vigente normativa in materia di tutela dei dati personali. Ad esempio, non è scontato che il cloud provider sia da ritenersi correttamente un Responsabile esterno del trattamento. Questo fatto, abbinato alla varietà dei dati trattati (dati ‘comuni’, sensibili, giudiziari ecc.), agli ambiti di trattamento ed alle caratteristiche dei servizi cloud, fa sì che la migrazione di dati personali nel cloud da parte della pubblica amministrazione non possa essere affrontata in senso astratto o generico, ma vada attentamente analizzata e calibrata sulle esigenza e le caratteristiche dello specifico trattamento. È quindi preventivamente necessario individuare, caso per caso, quali tipologie di dati e di trattamenti si intenda migrare, definire i relativi obblighi e responsabilità in capo alla pubblica amministrazione ed al cloud provider e verificare che siano chiaramente riflessi nel contratto di fornitura cloud. Si raccomanda in particolare di ricorrere a specifici Privacy Level Agreement (PLA) che definiscano i livelli e le garanzie relative alla tutela e alla sicurezza dei dati personale da parte del fornitore di servizi cloud. I PLA potrebbero riguardare 48 ad esempio modalità di cifratura dei dati e di controllo da parte dell’amministrazione, limitazioni al trasferimento dei dati, tracciabilità delle azioni sui dati e delle relative responsabilità, garanzie di portabilità e politiche di persistenza e di conservazione dei dati. È anche auspicabile l’elaborazione di linee-guida specifiche per i diversi settori amministrativi, comprese indicazioni concrete e non formali, sia a livello europeo che nazionale, sugli obblighi e le responsabilità delle parti coinvolte, che contribuirebbero alla maturazione del mercato dei servizi cloud. Considerata la caratteristica architettura distribuita del cloud, sono altresì auspicabili soluzioni normative innovative che abilitino i trasferimenti in contesti extra-europei assicurando la tutela dei dati. Visti i limiti della normativa attuale, appare opportuno richiedere garanzie che i dati non vengano trasferiti all’esterno dello Spazio Economico Europeo (SEE). In questo ambito DigitPA ritiene di poter offrire utili contributi in collaborazione con il Garante per la protezione dei dati personali, anche alla luce della passata esperienza. Definire le garanzie che devono essere fornite dai fornitori di servizi cloud Sebbene molti dei rischi legati all’uso del cloud siano propri di qualsiasi servizio IT, alcuni di essi sono certamente caratteristici di questo paradigma. Il cloud sollecita nuove modalità di controllo e di governo nella gestione delle informazioni, nella produzione, erogazione e fruizione dei servizi IT e nella gestione dei rischi. In sintesi, il nuovo modello di security governance è basato sul controllo indiretto e sulla delega delle funzioni tecniche. I requisiti di sicurezza e di resilienza del servizio, la compliance e la protezione dei dati vengono stabiliti su base contrattuale, con la definizione di specifici Service Level Agreement (SLA) e Privacy Level Agreement (PLA). Il raggiungimento e mantenimento dei livelli di servizio è poi regolarmente monitorato. Una delle maggiori barriere d’ingresso al mercato dei servizi cloud da parte sia della PA che delle PMI è rappresentato dalla mancanza di trasparenza sulle pratiche di sicurezza adottate dai fornitori di servizi cloud. Al fine di ridurre questa criticità si raccomanda: 1. l’utilizzo di framework standardizzati per la valutazione dei fornitori, come [ENISAIAF98], [ENISASR11], [CSACCM11] e [CSACAI11]. Si tratta di liste di controllo suddivise in domini che hanno l’obiettivo di comprendere se e come un fornitore possa soddisfare i requisiti di un utilizzatore di servizi cloud; 2. l’adozione di tecnologie che consentano il monitoraggio continuo del rispetto dei requisiti dell’utente e dei termini contrattuali; 3. l’introduzione di un processo di certificazione di servizi e fornitori basato sui punti precedenti, come ad esempio il processo FedRamp proposto dal Governo Federale USA. Valutare non solo i rischi ma anche i benefici derivanti dal ricorso al cloud Posta la necessità di rivedere l’approccio alle gestione della sicurezza dei servizi e delle informazioni sulla base del modello di governance imposto dal paradigma cloud [CSA10], è opportuno sfruttare al meglio anche i vantaggi offerti in termini di sicurezza e di resilienza. Rispetto alle soluzioni che possono essere sviluppate dai fruitori di servizi cloud con i mezzi a loro disposizione, i fornitori di servizi cloud possono essere in grado di offrire soluzioni di sicurezza assai più efficaci ed efficienti grazie, tra l’altro, ai fattori di scala. Per motivi analoghi, il modello cloud può anche contribuire a migliorare la sicurezza dei dati e dei servizi IT offerti ed utilizzati dalla PA, sia per quanto riguarda la riservatezza dei dati che la disponibilità e la scalabilità dei servizi. Questo ultimo aspetto riveste un ruolo cruciale per quei servizi al cittadino che richiedono una disponibilità pressoché continua, come ad esempio i servizi sanitari. Infine, il paradigma cloud dovrebbe essere considerato come un’opportunità per ricondurre sul piano sostanziale anziché formale l’attuazione delle leggi sulla privacy nell’IT.