Google ha lanciato la sua offerta: computer portatile e sistema
operativo come servizio alle aziende, a 28 dollari al mese (20 per
le università). L’offerta di Google è legata al suo nuovo
sistema operativo Chrome OS e rende quasi superfluo l’uso del
computer: il pc è infatti privato del disco rigido e sullo schermo
campeggia solo un browser, perché tutti i dati e i software sono
accessibili dalla rete. È un ulteriore segnale della pervasività
delle offerte che negli ultimi cinque anni hanno visto crescere il
mercato del cloud computing: servizi di archiviazione dati a
distanza, servizi esternalizzati di gestione delle infrastrutture
informatiche, software “noleggiato” come servizio a richiesta e
non più venduto con licenza d’uso, gestione di tutti i servizi
informatici.
Ma che cosa comprano in realtà le aziende quando pagano per usare
il cloud computing? Dipende dalla tipologia di servizi: le buone
prassi del settore, al di là delle singole offerte, mirano a
fornire contratti nel cui cuore ci sono accordi sul livello del
servizio (Service level agreement). Accordi cioè che garantiscano
una serie di elementi: dall’effettiva disponibilità del servizio
alla garanzia di sicurezza e privacy nella gestione dei dati del
cliente, sino alla velocità e scalabilità del servizio
stesso.
Sono accordi nati negli anni Ottanta nel mercato delle offerte
aziendali da parte degli operatori di telefonia fissa e adesso sono
diventati uno standard in quasi tutti i settori della vendita dei
servizi.
“Uno dei passi più importanti – spiega Feliciano Intini,
responsabile dei programmi di Sicurezza e Privacy di Microsoft
Italia – è far capire ai clienti che nei nostri servizi operiamo
bene e che possiamo certificarlo con soggetti terzi: ad esempio lo
standard è la certificazione Iso 27001, ma c’è anche la Fisma,
che viene richiesta da tutte le agenzie governative Usa per
accettare un servizio da un fornitore di tecnologia.
Poi, ciascun fornitore mette in piedi la sua offerta. Dal punto di
vista della sicurezza, ad esempio, la nostra è basata sul fatto
che c’è una difesa delle informazioni per ciascun livello: da
quello fisico ai sistemi operativi e poi agli applicativi e via
dicendo. Infine, è importante riflettere la qualità
dell’offerta anche in sede contrattuale: negli accordi sul
livello del servizio è previsto, se mai si dovesse scendere sotto
il 99,99% di disponibilità su base annuale, un sostanziale
rimborso economico”.
Il punto centrale del cloud computing è l’esternalizzazione: che
siano i server, le risorse di calcolo o il luogo fisico
dell’archiviazione dei dati, comunque l’idea stessa del cloud
ha alla base l’idea che ci sia qualcosa che non è più
all’interno del perimetro dell’azienda, ma viene gestito
esternamente. E questo apre una serie di problematiche: dove sono i
dati, a quale legislazione sono sottoposte le informazioni se i
server sono all’estero, in che modo vengono gestite, quali
soluzioni tecnologiche usano i fornitori del servizio.
I rischi sono quelli della perdita di controllo nella governance
delle tecnologie aziendali, di lock-in con un singolo fornitore, di
mancato adeguamento alle normative, di protezione dei dati
inefficace e di incapacità di garantire la loro eliminazione
completa quando richiesto.
“Chi si occupa dell’argomento dai tempi in cui il cloud non
esisteva – dice Intini -, vede in queste situazioni per la
cybersicurezza l’opportunità di raggiungere finalmente
l’attenzione del regolatore e del politico che devono in qualche
modo metterla nell’agenda nazionale. Il cloud (e la protezione
delle infrastrutture critiche nazionali) non apre nuovi problemi,
ma offre l’occasione di trattarli come meritano”.
La situazione da questo punto di vista, nel nostro Paese, è
particolare: “In Italia – conclude Intini – non c’è una
normativa particolare. Però c’è un Garante della privacy molto
attento e attivo, tra i più attivi in Europa, che contribuisce
molto definire l’evoluzione della normativa sul trattamento dati
a livello europeo. In questo siamo tra i più avanzati. Tuttavia,
per la cybersecurity e l’agenda governativa, ho paura che ancora
non sia stata data la giusta attenzione all’argomento. E neanche
io ho ancora ben chiaro quali siano i soggetti istituzionali
investiti dell’autorità per fare proposte più operative”. In
Europa è allo studio la normativa per uniformare il trattamento
dei dati relativi a un cittadino europeo in maniera tale che venga
sempre seguita la normativa Ue, risolvendo così parte dei problemi
relativi alle regole applicabili alle informazioni quando queste
vengano spostate fisicamente in datacenter di paesi al di fuori
della Comunità.