Focus sulla sicurezza del cloud: strategie, architetture e modelli contrattuali per proteggere i dati aziendali sensibili in un mondo digitalizzato

I dati sono uno strumento dell'economia moderna digitalizzata, o anche il nuovo oro delle aziende (settore privato), ma anche per lo Stato (settore pubblico). Nel mondo digitalizzato di oggi, si generano inarrestabilmente innumerevoli nuovi set di dati, molti dei quali finiscono su Internet. Alcuni di questi set di dati riguardano informazioni personali che rappresentano un'identità digitale. La vera sfida per un'azienda è filtrare attentamente questi dati e, soprattutto, conservarli. Questo breve elaborato ha lo scopo di illustrare i dati nel cloud e il loro trattamento dal punto di vista aziendale. Inoltre, questo breve elaborato illustra quali tipi di contratti, architetture e misure di sicurezza adeguate contro gli attacchi informatici vengono adottati dall'industria per disporre di una solida base per il proprio trattamento dei dati.

Prima di addentrarci nell'argomento della sicurezza del cloud, è importante conoscere alcuni dati fondamentali del cosiddetto «cloud computing», il suo funzionamento e la struttura di un cloud: «Il cloud computing è un modello di elaborazione dati che consente di accedere comodamente, in qualsiasi momento e ovunque, tramite una rete a un pool condiviso di risorse informatiche configurabili (ad es. reti, server, sistemi di archiviazione, applicazioni e servizi). Queste risorse possono essere messe a disposizione rapidamente e con un minimo sforzo amministrativo o una ridotta interazione con il fornitore di servizi. Il cloud può essere utilizzato in tre varianti (Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS)). Il tipo di cloud varia a seconda della modalità di fornitura (cloud privato, cloud comunitario, cloud pubblico, cloud ibrido).» [1]

Nel campo del cloud computing esistono diversi modelli di distribuzione, ovvero i modi in cui i fornitori di cloud mettono a disposizione i servizi cloud ai propri utenti. Esistono quattro modelli principali associati al cloud computing:

1. Cloud pubblico

Il cloud pubblico consente a tutti gli utenti di accedere a risorse informatiche quali hardware (sistema operativo, CPU, memoria) o software (server applicativi, database) su abbonamento o con pagamento a consumo. I casi d'uso pratici sono lo sviluppo e il collaudo di applicazioni per attività critiche e non critiche, come ad esempio la condivisione di file e i servizi di posta elettronica.

2. Cloud privato

Il cloud privato viene solitamente utilizzato in modo esclusivo da una singola organizzazione e può essere gestito internamente o da un fornitore di servizi IT esterno. Sebbene i cloud privati siano spesso più costosi dei cloud pubblici a causa degli investimenti necessari per l'acquisto e la manutenzione, rispondono in modo più efficace alle preoccupazioni delle organizzazioni in materia di sicurezza e protezione dei dati.

3. Cloud ibrido (una combinazione di un data center fisico o un cloud privato esterno e/o un cloud pubblico)

Il cloud ibrido utilizza sia infrastrutture cloud private che pubbliche. Le aziende scelgono questo modello per espandere rapidamente la propria infrastruttura IT quando necessario. In questo modo, ad esempio, un rivenditore online può utilizzare risorse cloud pubbliche durante il periodo delle festività per integrare o alleggerire le capacità del proprio cloud privato.

4. Cloud comunitario

Il cloud comunitario supporta più organizzazioni che utilizzano insieme le risorse informatiche. Tra queste figurano, ad esempio , le università che collaborano in specifici settori di ricerca o enti statali come le stazioni di polizia all’interno di una circoscrizione che condividono le risorse. L’accesso a un cloud comunitario è limitato ai membri della comunità.

I costi per l'utente finale sono tradizionalmente bassi nei cloud pubblici, senza che siano necessari investimenti più consistenti. I cloud privati, invece, richiedono investimenti, ma offrono comunque un risparmio rispetto ai costi operativi della propria infrastruttura . I cloud privati garantiscono anche unmaggiore supportoin termini di sicurezza e conformità rispetto ai cloud pubblici. Per questo motivo, alcune organizzazioni utilizzano i cloud privati per dati e applicazioni critici o più sensibili, mentre i cloud pubblici vengono impiegati per attività di base come lo sviluppo di applicazioni, gli ambienti di test e i servizi di posta elettronica. [2]

Una soluzione cloud ibrida è l'ideale per ridurre o diversificare i rischi di un attacco informatico. Offre un maggiore controllo sulla tua sicurezza rispetto al semplice utilizzo di un cloud pubblico. Inoltre, un'infrastruttura cloud ibrida offre la possibilità di impostare standard di sicurezza personalizzati e di configurareil software su server privati in modo su misura. Questa distribuzione porta a una maggiore affidabilità dei sistemi e a una migliore valutazione della situazione per classificare i problemi di sistema.

Inoltre, l'efficienza in termini di costi è superiore rispetto all'acquisto e alla manutenzione di server in loco. [3]

Modelli di architettura dei servizi cloud

Visti questi vantaggi di una soluzione cloud ibrida, che vanno da un maggiore controllo della sicurezza a una maggiore affidabilità, è importante capire le diverse architetture dei servizi cloud. Queste architetture, ovvero Infrastructure as a Service (IaaS), Platform as a Service (PaaS) e Software as a Service (SaaS), offrono diversi livelli di fornitura del servizio e definiscono diverse responsabilità in materia di conformità.

1. Infrastructure as a Service (IaaS)

I fornitori di IaaS mettono a disposizionel’infrastruttura di base per l’elaborazione, l’archiviazione e la rete, oltre all’hypervisor per la virtualizzazione. Gli utenti sono responsabili della creazione e della gestione delle istanze virtuali, dell’installazione dei sistemi operativi, della distribuzione di applicazioni e dati, nonché dell’intera configurazione. L'IaaS è interessante sia per le piccole imprese che per le PMI. La facilità d'uso di un'infrastruttura cloud non gestita in proprio rappresenta un'alternativa economica all'acquisto di hardware proprio.

Esempi: DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud

2. Platform as a Service (PaaS)

I fornitori di PaaS ampliano lo stack applicativo più di quanto faccia l'IaaS, integrando sistemi operativi e middleware (ad es. database). Gli utenti si concentrano maggiormente sullo sviluppo delle applicazioni. La piattaforma gestisce l'infrastruttura sottostante.

Esempi: AWS Elastic Beanstalk, Google App Engine.

3. Software as a Service (SaaS)

I fornitori SaaS offrono uno stack applicativo completo. Gli utenti possono accedere all'applicazione completamente ospitata tramite un browser web. La gestione dei carichi di lavoro e delle risorse IT è interamente sotto il controllo del fornitore SaaS, mentre gli utenti hanno il controllo esplicito sui dati generati dall'applicazione.

Esempi: Salesforce, Dropbox, Google Workspace, aBusiness Suite [4]

Il cloud nel diritto contrattuale

I contratti SaaS non sono stati ancora trattati espressamente dal legislatore. Ad oggi, un contratto SaaS può essere classificato giuridicamente solo come contratto misto, che comprende aspetti dei contratti di prestazione di servizi, d’opera e di locazione. L’ambito giuridico applicabile dipende quindi dalla rispettiva parte del contratto relativa alla prestazione. La parte centrale di un contratto SaaS rientra prevalentemente nel diritto di locazione, poiché la fornitura di software è paragonabile alla cessione di beni nel diritto di locazione. Poiché il software non è considerato una «cosa» ai sensi del diritto di locazione, attualmente si ritiene che i contratti SaaS costituiscano una cessione temporanea per l’uso. Ciò è in linea con le disposizioni e l’obiettivo perseguito dal diritto di locazione. [5]

I contratti PaaS sono caratterizzati in modo determinante dagli accordi sul livello di servizio (SLA), che stabiliscono le prestazioni minime e definiscono i diritti e gli obblighi di entrambe le parti contraenti.

La protezione e la sicurezza dei dati rivestono un ruolo fondamentale, poiché nei servizi PaaS vengono spesso trattati dati sensibili. Il contratto deve conteneredisposizioni chiare sulla protezione dei dati personali. Inoltre, è inevitabile stabilire nel contratto chi detiene la proprietà intellettuale delle applicazioni create, anche se di solito l'utente mantiene la proprietà delle applicazioni e il fornitore quella della piattaforma. [6]

Conclusione

Che si tratti di una startup, di una società di venture capital, di una PMI o di un'azienda più grande, la sicurezza del cloud è fondamentale per ogni impresa.

In questo contesto, non bisogna solo considerare con quali fornitori di servizi cloud si desidera collaborarecome azienda , ma anche quali condizioni quadro vengono stabilite.

In definitiva, la sicurezza non è solo responsabilità del fornitore di servizi cloud in sé, ma anche i dipendenti di un'azienda svolgono un ruolo altrettanto importante nell'aspetto della sicurezza del cloud.

È fondamentale investire regolarmente nella formazione e nella sensibilizzazione dei dipendenti, per assicurarti che abbiano le competenze necessarie per gestire le linee guida e le procedure di sicurezza. Per sfruttare appieno il potenziale del cloud, però, le aziende dovrebbero investire sia nella manutenzione dei propri sistemi o di quelli dei partner esterni, sia nel reclutamento di nuovi collaboratori IT. In questo modo un'azienda può garantire la sicurezza dei sistemi e quindi aumentare la soddisfazione dei clienti, migliorando così la propria reputazione a lungo termine.

Un punto cruciale nella scelta di un provider cloud esterno è da sempre la dipendenza da fornitori stranieri e dalle loro normative sulla protezione dei dati. Le aziende affrontano questa sfida con misure quali un'analisi approfondita delle politiche sulla privacy, approcci cloud ibridi per ridurre al minimo i rischi, valutazioni delle misure di sicurezza e delle certificazioni dei fornitori, valutazioni d'impatto sulla privacy, monitoraggio e audit regolari, nonché la preparazione a possibili violazioni della privacy. Le strategie variano a seconda delle dimensioni e del settore dell'azienda, ma hanno tutte lo stesso obiettivo: garantire la conformità alla protezione dei dati e ridurre al minimo i potenziali rischi legati all'utilizzo di servizi cloud esterni.

Bibliografia

Cloud Computing
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Modello di implementazione cloud (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Capire il cloud: sai cos'è un cloud pubblico e cos'è un cloud ibrido? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

Cos'è l'IaaS? Definizione e informazioni utili
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Platform as a Service (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

Cosa devi tenere presente quando redigi contratti SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Contratti Platform-as-a-Service (contratti PaaS): una guida (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html