Facendo gli onori di casa oggi al Cloud Security Summit, il Presidente di CSA Italy Alberto Manfredi ha voluto lanciare subito due “take away”: #1 la Privacy era un ostacolo al porting dei dati aziendali in cloud; possiamo dire che ora non lo è più; il cloud non fa più paura perché abbiamo gli strumenti tecnici e giuridici per governarlo. #2 il cloud si può mettere in sicurezza e forse è anche più facile che per le soluzioni di IT tradizionale. Diversi oratori di livello hanno quindi tentato di dimostrare che tutto ciò corrisponde al vero, nell’offerta dei provider, come anche nell’esperienza delle aziende clienti.
Va detto che l’approccio strategico al cloud (prima preparo l’infrastruttura e la sicurezza, poi adatto le applicazioni e alla fine ci sposto i dati) non sempre è praticabile, come ha riconosciuto il CEO di Cloud Security Alliance Jim Reavis, e lascia spesso il passo ad un approccio opportunistico (colgo le occasioni) o addirittura alla semplice presa di coscienza del dato di fatto che il cloud semplicemente è già entrato in azienda. Problemi e soluzioni diventano molto diversi passando dalla sicurezza applicata ai server (che tendenzialmente sono stabili negli anni) alla sicurezza applicata ai servizi (che possono essere attivati e disattivati di continuo). Per questo forse ci sono un milione di posti di lavoro vacanti nella IT Security… Passando dalla IaaS alla PaaS ed al SaaS il focus della sicurezza si sposta dal cliente al fornitore, il che comporta la necessità di una eccellente gestione dei contratti.
Lo ha precisato Mariangela Fagnani (Senior Advisor di Sernet e Board Member di Clusit): a seconda del modello di cloud le responsabilità sulla privacy e la sicurezza differiscono; per il SaaS riguardano essenzialmente la governance e la compliance, due aspetti contrattuali da definire precisamente senza lasciare aree grigie, con particolare attenzione al regime dei controlli. Su questo terreno vengono in aiuto specifiche norme ISO: la 27017 (valida sia per i clienti che per i fornitori), di recente introduzione, e la 27018 (dedicata alla protezione dei Dati Personali in cloud), già applicata su diverse realtà anche italiane. Pur trattandosi di Linee Guida, quindi non certificabili, è possibile ottenere un certificato di conformità; Microsoft è stato il primo vendor a riceverlo per la sua soluzione cloud, come ha ricordato Andrea Piazza, Chief Security Advisor di Microsoft Italy.
Ma per approfondire le tematiche contrattuali chi meglio di un Legale altamente specializzato? Per Gabriele Faggioli (di Partners4Innovation e Presidente di Clusit) gli aspetti tecnologici della sicurezza possono essere coperti dai provider meglio di quanto siano spesso in grado di fare le aziende, ma per la maggior parte di quelle che approcciano il cloud non è sempre semplice ottenere condizioni contrattuali sicure, soprattutto se si tratta di PMI, tipicamente dotate di scarsa forza contrattuale verso i grandi player del mercato. Bisogna comunque tentare di chiedere trasparenza sui livelli di sicurezza garantiti. Per la privacy vanno presi in considerazione anche il trasferimento dei dati personali all’estero e l’applicazione delle misure di sicurezza (minime e idonee). Il fornitore deve fornire evidenze e il cliente deve chiedere di metterle come clausole contrattuali, seguendo i consigli del parere 5/2012 del WP29. A questo proposito il GDPR porterà un cambio di prospettive: nei contratti andranno inserite ad esempio clausole sulla portabilità dei dati ex art. 20, la nomina del fornitore a Responsabile del Trattamento, le modalità di Audit che consentiranno al Titolare di disporre della documentazione necessaria in ottica di accountability. Da non dimenticare gli obblighi in caso di Data Breach: sarà necessaria la tempestiva comunicazione agli interessati e alla DPA, a meno che i dati non siano stati opportunamente criptati e quindi risultino inutilizzabili. NB: queste novità andrebbero inserite da subito, in tutti i contratti (esistenti o nuovi) che saranno ancora in vigore a giugno 2018.