Cloud, a tutti (aziende e PA) piace ibrido: ecco perché

22 Novembre 2017

In Europa imprese e PA preferiscono il modello ibrido, che prevede il mantenimento dell’asset sistemistico e la cessione a fornitori esterni solo di alcune funzionalità. Scelta considerata sempre più spesso saggio. Soprattutto alla luce del GDPR.

La migrazione verso le piattaforme cloud sembra ormai essere un processo inevitabile che coinvolge imprese e pubbliche amministrazioni; come confermato dallo studio State of the Cloud Repost (RightScale 2017), l’esternalizzazione dei servizi IT riguarda prevalentemente le piccole aziende (fino a 100 impiegati) e le grandi aziende (sopra i 1000 impiegati). Rimane una forte indecisione da parte di quelle realtà medio grandi, che avrebbero le strutture interne per provvedere in autonomia a dotarsi di piattaforme virtuali, ma che al contempo non dispongono della massa critica per beneficiare dell’economie di scala. Più in generale, il passaggio verso il cloud è un fenomeno molto diffuso nel Nord America (60% delle aziende) e in via di sviluppo in Europa (ad oggi il 20% delle aziende con un trend in ascesa). Tra coloro che migrano al cloud vi è poi l’ulteriore ripartizione relativa alla tipologia di “nuvola” che viene adottata: cloud pubblico, privato o ibrido.

Con cloud pubblico si intende la migrazione tout courtdell’intero parco dei servizi IT verso un fornitore di servizi esterno; il cloud privato si realizza quando la migrazione viene completamente gestita dall’interno, beneficiando dei vantaggi delle piattaforme condivise per creare sinergia tra i vari settori della stessa azienda o della stessa Pubblica Amministrazione; con cloud ibrido si intende un passaggio non totale che prevede il mantenimento dell’asset sistemistico e la cessione a fornitori esterni solo di alcune funzionalità ritenute più profittevoli se gestite da un soggetto esterno.

La figura che segue dimostra come quella del cloud ibrido sia la soluzione privilegiata dalle aziende. Cerchiamo di capire il perché.

Tra i vantaggi principali dell’utilizzo delle piattaforme cloud vi è:

  • Incremento elastico delle risorse di calcolo – il cloud risponde al bisogno di hardware performante, che necessita di gestione, alimentazione, condizionamento, locali adeguati e manutenzione.
  • Compliance – l’evoluzione legislativa impone la conformità a numerosi standard e normative, la cui implementazione richiede alle imprese e alle PP.AA. risorse materiali e/o economiche di cui possono non disporre.
  • Esternalizzazione – utilizzando i servizi cloud viene meno la necessità di personale IT o di consulenti per la gestione di server e di altri sistemi critici.
  • Sicurezza – l’adozione di servizi cloud risolve gran parte dei problemi di sicurezza che internamente non trovavano soluzione, quali ad esempio backup, disaster recovery, business continuity, antivirus, servizi di posta.
  • Utilizzo di risorse on demand – attraverso i servizi cloud si riesce a modulare la spesa per le risorse IT in funzione della variazione puntuale dei carichi di lavoro workload, arrivando a ridurre la spesa in caso di scarso utilizzo dei sistemi e potendo far fronte a picchi di utilizzo senza effettuare necessariamente investimenti di lungo termine.

In sintesi, una serie di vantaggi soprattutto per le imprese che devono ottimizzare risorse e trarre profitto.

A fronte di questi vantaggi tuttavia, la scelta del cloud ibrido continua ad essere quella preferita, anche nei casi in cui le opportunità offerte dall’esternalizzazione appaiono evidenti. Ma perché le aziende e le PP.AA. tendono a non tenersi in casa parte dei sistemi IT?

La prima osservazione è che in effetti manca il livello di consapevolezza di cosa si sta “acquistando” e di quale sia valore/asset che viene ceduto in gestione al Cloud Provider. Quando si opera la migrazione verso una piattaforma cloud molto spesso non è noto come questa funzioni dal punto di vista tecnico, cosa faccia la piattaforma e soprattutto cosa non è sia grado di fare. Nei contratti non sono mai specificati i nomi di eventuali sub-contraenti che erogano e gestiscono il servizio; ogni eventuale incuria, ad esempio nel trattamento dei dati, rimane di responsabilità del cliente (impresa o P.A.) e non del fornitore di servizi cloud. Quando si affida la gestione di dati personali a soggetti terzi è bene ricordare che si mantiene la titolarità sugli stessi e di conseguenza tutte le responsabilità connesse. Un altro aspetto riguarda la stabilità del servizio acquisito che non è nota a priori; con stabilità si intende non solo la disponibilità del servizio, ma anche la sua persistenza nel tempo. Il cloud è per sempre?

Il Cloud Provider può unilateralmente migrare la piattaforma di gestione dei dati vincolando di fatto il cliente ad adeguarsi; lo stesso vale per gli strumenti di gestione e di monitoraggio che vengono resi disponibili e che sono di proprietà del fornitore. Tali strumenti vanno conosciuti dal cliente, e possono mutare nel tempo: ciò pone le condizioni per un vero e proprio customer lock-in.

La scrittura e l’esercizio del contratto deve tenere in conto di diverse sfumature per definire le quali, l’esperienza attuale (il cloud è giovane!) non sembra ancora sufficiente, soprattutto in ambito di sicurezza informatica.

Nella Gigabit Society e con l’avvento dell’Industria 4.0, il valore delle aziende risiete nei dati; mettere i dati in cloud corrisponde in un certo senso a depositare i propri soldi in una banca; vediamo qualche analogia tra questi due mondi.

La sicurezza nel cloud meriterebbe una trattazione separata; se è vero che ci si affida al fornitore cloud per snellire le problematiche relative alla sicurezza informatica, è altrettanto vero che si introducono nuove criticità dovute al fatto che le operazioni di gestione del sistema non sono trasparenti all’utilizzatore. Eventi di accesso ai dati di backup o a dati residuali sfuggono al controllo del cliente. L’utilizzo di dati personali con diverse finalità spesso non è tracciato e dipende dalla mancanza di un’attività di audit. Ma che si intende davvero per audit? In gergo più tecnico si amplia quella che viene definita la superficie di attacco, cioè le modalità con cui un malintenzionato può accedere a dati su cui non possiede le debite autorizzazioni: di conseguenza aumenta il perimetro da difendere, ammesso che quando si parla di cloud sia possibile definirne uno. Di fatto non esiste un sistema impenetrabile in senso assoluto e a maggior ragione inviolabile e allo stesso tempo connesso. Le violazioni possono essere costituite dal furto di dati con conseguenze indirette gravi, ma possono anche portare a modifiche di dati e di processi, con conseguenze dirette anche molto più gravi (ad es. malware creato la penetrare la gestione di centrali nucleari o più in generali per sistemi di controllo). Anche la semplice perdita di dati, può dar luogo a danni incalcolabili. Nessun gestore di servizi cloud può essere considerato immune: l’unico approccio possibile è quello di conoscere i rischi connessi (consapevolezza). Proprio su questa linea si attestano sia le norme tecniche ISO 9001:2015 ed ISO 27000, sia il recente Regolamento Europeo per la Protezione dei Dati Personali (DGPR) in vigore dal prossimo maggio 2018.

Proprio quest’ultimo, in particolare, pone delle nuove sfide per l’erogazione di servizi cloud verso i titolari dei dati personali e verso i Cloud Provider. La prima considerazione è che viene introdotto il concetto di accountability in capo al titolare del trattamento; ciò implica la conoscenza approfondita di tutte le fasi di gestione dei dati personali. Risulta evidente come tale obbligo possa diventare complesso per aziende e PP.AA. che si affidano a fornitori esterni per la gestione dei dati senza adottare misure di sicurezza appropriate. Tra queste possiamo citare la pseudo-anonimizzazione e la cifratura dei dati. In quest’ultimo caso la chiave di cifratura dovrebbe essere nota solamente al cliente del cloud e non al fornitore del servizio per proteggere i dati nel cloud da accesso non autorizzato. Tali procedure di sicurezza spesso non sono rese disponibili dai comuni servizi cloud oggi sul mercato. Il Risk Management su cui si basa il GDPR, inoltre, impone non solo che vengano adottati principi di privacy by design e by default, quando ad esempio si realizzano servizi che trattano dati personali, ma che in casi particolari venga svolta una valutazione d’impatto sulla protezione dei dati personali, che documenti tutte le decisioni prese in termini di sicurezza dei dati. L’adozione di servizi cloud impone che tale valutazione debba comprendere anche i rischi connessi all’affidamento completo o parziale dei propri dati personali a un Cloud Provider. Le misure di sicurezza da adottare sui dati personali potranno essere diverse a seconda del tipo di dato trattato e questo potrebbe creare difficoltà di implementazione da parte dei fornitori. Da sottolineare che il trasferimento di dati personali verso paesi terzi od organizzazioni internazionali non appartenenti all’Unione Europea può avvenire solamente se vengono rispettate le disposizioni del GDPR. Di conseguenza sarebbe consigliabile conoscere almeno la locazione dei server in cui verranno trattati i dati, per conoscere i Paesi coinvolti e le relative garanzie in termini di protezione dei dati. Un ulteriore aspetto da evidenziare riguarda il diritto dell’interessato di poter richiedere la portabilità dei dati personali da un fornitore di servizi a un altro, che nel caso del cloud implica la necessità di individuare standard operativi per la struttura e il trasferimento dei dati.

In quest’ottica sarà interessante capire su chi ricadranno i costi necessari per sviluppare una nuova generazione di cloud computing per l’Unione Europea, se sui clienti finali o sui fornitori commerciali dei Cloud Provider.

In conclusione siamo di fronte a un nuovo sistema di protezione del valore, quello della gestione e conservazione dei dati: a fronte di indubbi vantaggi si introducono nuovi rischi. Forzare la limitazione di cloud o di altri strumenti di condivisione diventa antitetico rispetto al paradigma 4.0 e concurrent engineering, tuttavia accettare i rischi tout court, perché i vantaggi sembrano apparentemente maggiori, potrebbe portare a gravi conseguenze anche in termini di protezione dei dati. Per questi motivi, la gestione del cloud ibrido appare la via privilegiata; lo scopo è mitigare i rischi da inosservanza (fraudolenta) dei contratti di servizio utilizzando comunque tecnologie cloud ma gestendole autonomamente (cloud privato a gestione diretta, cloud ibrido, soluzioni cloud per la PA).

 

fonte: “https://www.agendadigitale.eu/infrastrutture/cloud-a-tutti-aziende-e-pa-piace-ibrido-ecco-perche/”