A livello nazionale e a livello europeo c’è un gran movimento attorno all’adozione del cloud computing nella pubblica amministrazione.
Le motivazioni sono diverse e vanno dalla riduzione dei costi di esercizio alla creazione di nuovi posti di lavoro. Ad oggi però ancora non si può parlare di vero “governmental cloud”. Nel report “Good Practice for securely deploying Governmental Clouds” recentemente pubblicato – il 15 novembre 2013 – dalla European Union Agency for Network and Information Security (Enisa) – viene fatta chiarezza su due aspetti fondamentali: il primo è come dovrebbe essere strutturato un modello di governmental cloud per poter essere effettivamente sostenibile e portare i benefici previsti. In secondo luogo vengono fornite 10 raccomandazioni per uno sviluppo sicuro del cloud computing nella pubblica amministrazione.
La definizione di governmental cloud fornita da Enisa va oltre il classico approccio che mira al consolidamento dei datacenter su scala nazionale e virtualizzazione delle risorse a livello ministeriale/aziendale. Un governmental cloud, per poter consentire una effettiva riduzione dei costi, e rendere smart i servizi, deve essere basato su un modello di business sostenibile che garantisca efficienza ed economia di scala e che consenta la standardizzazione dei servizi e dei livelli di servizio.
Per essere efficace da un punto di vista economico, il governamental cloud deve adottare un modello di deployment che permetta di fornire servizi base (ad es. autenticazione, storage, gestione documentale, gestione dei workflow) che possano essere utilizzati dalle agenzie governative o dai ministeri per costruire servizi di e-government sia per uso interno (operation & management) che per cittadini e imprese.
Ovviamente, le piattaforme e i servizi devono essere compatibili con la legislazione europea e nazionale in termini di privacy, security e robustezza. E devono essere progettati in un’ottica transnazionale.
Per lo sviluppo di un governmental cloud sostenibile e sicuro, è fondamentale una strategia a livello europeo che abiliti la definizione di strategie nazionali e una serie di regolamentazioni inerenti: ad esempio, l’uso di infrastrutture multi-tenant per servizi di e-government e la definizione di procedure standard per la migrazione dei dati e delle applicazioni da provider a provider (come ad esempio avviene per i conti correnti bancari); la regolamentazione del public procurement di servizi cloud e la gestione degli aspetti legali per il procurement transfrontaliero; la certificazione della qualità dei servizi offerti un cloud provider; la definizione e gestione dei service level agreement, security level agreement e privacy level agreement.
Tali strumenti regolatori vanno ovviamente affiancati da tecnologie e metodologie per il monitoraggio/controllo della località dei dati e della gestione dei dati in generale, per la migrazione di dati e servizi, per la sicurezza (processi di pre-assessment, security management, identity management, ridondanza dei dati e disponibilità dei servizi), per la valutazione dei rischi e degli impatti; per l’enforcement della privacy e della protezione dei dati (ad esempio mediante tecniche crittografiche).
Le misure regolatorie e tecnologiche da sole non sono sufficienti. Esse vanno affiancate da strategie e strumenti comunitari e nazionali per diffondere la conoscenza sulle tematiche e problematiche sopra menzionate; per sviluppare la consapevolezza dei rischi, delle relative misure di mitigazione, e dei reali benefici che se ne possono trarre e per supportare la ricerca nell’ambito della sicurezza dei sistemi di governmental cloud.
