La conformità del cloud è l'arte e la scienza di rimanere conformi con le norme che regolano l'utilizzo del cloud ai sensi delle linee guida del settore e delle leggi locali, nazionali e internazionali. Alcuni requisiti normativi comuni comprendono l'Health Insurance Portability and Accountability Act (HIPAA), il Payment Card Industry Data Security Standard (PCI DSS) e il Gramm-Leach-Bliley Act (GLBA).
Quando un'azienda si trova nel cloud, vi è il problema di come il fornitore di servizi cloud la aiuterà a mantenere la conformità alle leggi, come il RGPD europeo o l'HIPAA negli Stati Uniti. Tale tema non deve essere affrontato dopo l'avvio del servizio cloud, bensì nella primissima fase di discussione.
A volte, tuttavia, le aziende si trovano nel cloud molto prima di quanto avessero previsto, e questo complica le cose. Uno dei principi fondamentali del cloud è la necessità di un'interfaccia "self-service", affinché il cliente possa con facilità configurare, modificare e uscire dai servizi cloud.
Ciò che non è chiaro, tuttavia, è chi nell'azienda dovrà occuparsene. A quanto pare, oggi potrebbe essere chiunque. Tutto ciò che serve è una carta di credito aziendale e qualsiasi reparto può lanciarsi nell'immissione dei propri dati nel cloud. Il termine per questo tipo di pratica è noto: shadow IT. Questo termine è molto utilizzato al giorno d'oggi a causa delle caratteristiche del cloud.
Per governance si intende la supervisione di un'azienda da parte dei dirigenti senior e del Consiglio di amministrazione. La cloud governance è un'estensione di tale supervisione al cloud. La governance è cruciale: senza di essa vi sono troppe domande senza risposta a proposito dei traguardi e degli obiettivi di un'azienda che rendono molto difficile la gestione del cloud e della relativa sicurezza.
Prima di passare al cloud, un'azienda deve considerare quali siano i suoi scopi e obiettivi. Gli scopi e gli obiettivi dovrebbero essere guidati da leggi, regolamenti e contratti applicabili. Al di là degli aspetti legali, la cloud governance indica ai dipendenti la strada giusta per contribuire al raggiungimento di scopi e obiettivi della società.
Errori gravi possono far sì che il cloud complichi le cose, impedendo agli utenti di portare a termine il lavoro. Gli errori possono anche portare un'azienda in tribunale. Il Consiglio di amministrazione e la direzione esecutiva dell'azienda devono occuparsi del cloud.
Il primo argomento di qualunque discussione sulla conformità è la legge. Le aziende e i loro avvocati devono affrontare quali sono le leggi applicabili. Devono anche essere chiari sulle conseguenze della non conformità. Una volta identificate le leggi, è importante chiedersi quali controlli di sicurezza devono essere in atto per rispettare le leggi e i regolamenti applicabili.
Normative come l'RGPD dell'UE richiedono una grande quantità di sicurezza in termini di informazioni personali. L'RGPD dell'UE prevede inoltre limiti molto specifici sui luoghi in cui i dati coperti dalla norma possono essere elaborati e archiviati. Si tratta di un potenziale problema per il cloud a causa della sua modalità di funzionamento. Tuttavia, con la maggior parte dei fornitori di servizi cloud è possibile predisporre dei controlli ai fini della rispondenza ai requisiti normativi dell'RGPD.
I contratti definiscono un accordo formale tra due o più parti. Quando una società stipula un contratto, è obbligata a rispettarne i relativi termini. In caso contrario si potrebbe incorrere in ingenti penali finanziarie.
Un'organizzazione che elabora o archivia dati di carte di credito, probabilmente ha un accordo con le relative società emittenti che richiede di implementare elementi specifici del Payment Card Industry-Data Security Standard (PCI-DSS).
Per elaborare le carte di credito, un'azienda stipula un contratto in cui si impegna a rispondere ai 12 requisiti di sicurezza della norma. Il livello necessario di implementazione del requisito dipende dal numero di transazioni elaborate in un anno.
Un'azienda deve inoltre cercare di capire se uno o più dei suoi contratti con i clienti definiscono ciò che può fare o non fare nel cloud. Vi è un impatto sulla conformità se si utilizza un cloud di qualunque tipo, pubblico, privato, di comunità, ecc.?
Molte aziende utilizzano norme quali ISO 27001 o NIST SP 800-53 come base per l'implementazione dei controlli di sicurezza. Se un'azienda decide di usare ISO 27001 come standard, ha bisogno di formare i dipendenti in modo siano in atto controlli adeguati. Essi si estendono al cloud. Di fatto, ISO ha isolato i controlli specifici per il cloud e li tratta in ISO 27017.
Un modo per valutare il livello di conformità alle leggi, alle norme e ai contratti è condurre un audit. Gli audit possono essere interni o esterni. Un audit interno, completato dai revisori dell'azienda stessa, fornisce un'autovalutazione per determinare il suo livello di conformità. I risultati di un audit interno possono essere visti come distorti poiché i revisori potrebbero essere di parte nelle loro conclusioni.
Per ottenere un'opinione più obiettiva, un'azienda può affidare l'audit a un'azienda terza indipendente specializzata. Gli audit che riguardano il cloud qui presi in considerazione sono quelli effettuati dal fornitore di servizi cloud.
La maggior parte dei fornitori di servizi cloud non accoglie volentieri i clienti nei propri datacenter per l'esecuzione degli audit, quindi ci si affida a terzi indipendenti.
L'esito di un audit si trova nell'apposito rapporto. I rapporti sono standardizzati dall'American Institute of Certified Public Accountants (AICPA). È opportuno che tutte le aziende richiedano il rapporto di audit SOC 2®. Un rapporto SOC 2® è destinato alle organizzazioni di servizio, come i fornitori di servizi cloud. Indica la conformità ai controlli definiti, ad esempio, in ISO 27001 o NIST Cybersecurity Framework (CSF). I controlli vengono valutati secondo i cinque criteri di affidabilità dei servizi dell'AICPA, ovvero:
Tali rapporti possono essere di tipo 1 o di tipo 2. Un rapporto di tipo 1 indica lo stato dei controlli in un determinato momento del tempo e che tali controlli sono progettati e installati a un certo livello di idoneità. Un rapporto di tipo 2 indica l'efficacia operativa dei controlli in un determinato periodo, ad esempio sei mesi.
È opportuno che un cliente del cloud richieda tali rapporti, ma è possibile che il fornitore di servizi cloud sia poco incline a fornirli, poiché potrebbero contenere informazioni sensibili sulla propria azienda. Un'altra opzione è un SOC 3®, inteso come rapporto per utilizzo generico. Contiene pochissime informazioni sull'attività del fornitore di cloud. Di fatto indica solamente se l'auditor ha confermato o meno il superamento dell'audit da parte del fornitore di cloud.
Articoli correlati
Ricerche correlate