Una delle principali remore rispetto all’adozione, specialmente da parte di utenti business, delle tecnologie di cloud computing è costituita dal timore che vengano compromesse la confidenzialità, l’integrità e la disponibilità dei dati allocati nella “nuvola”.
Tale minaccia è tipicamente legata a una serie di fattori – quali eventuali comportamenti dolosi o colposi del service provider o di terzi, eventi distruttivi, black-out o malfunzionamenti del sistema informatico – che, in ottica di valutazione e gestione del rischio, dovranno essere opportunamente previsti, controllati e gestititi attraverso la predisposizione di adeguate misure e protocolli di sicurezza informatica.
Ove si consideri, infatti, che i dati aziendali, il know–how e le esperienze tecnico-industriali che, in quanto segrete, abbiano uno specifico valore economico, essi costituiscono un vero e proprio asset aziendale – per di più oggetto di specifica tutela giuridica avverso l’indebita appropriazione ed utilizzazione, ai sensi dell’art. 98 Codice della proprietà industriale – è evidente che eventuali falle dei sistemi di sicurezza predisposti dal cloud provider potrebbero comportare il deprezzamento di beni aziendali e la perdita di competitività sul mercato.
In questo scenario di rischio si inserisce il nuovo standard ISO/IEC 27017, pubblicato lo scorso 30 novembre 2015 dall’International Organization for Standardization. Assieme allo standard ISO/IEC 27018, pubblicato nel mese di agosto 2014, esso costituisce l’unica norma tecnica specificamente emanata dall’International Organization for Standardization con specifico riferimento all’offerta e alla fruizione di servizi di cloud computing.
Analogamente all’ISO 27018, anche il nuovo standard appare costruito e fondato sui suoi predecessori, gli standard ISO 27001 e ISO 27002, pur presentando diversità di obiettivi e differente ambito di applicazione.
Come noto, infatti, lo standard ISO 27001 definisce i requisiti per la realizzazione di un Sistema di Gestione della Sicurezza delle Informazioni. A differenza del resto delle norme qui considerate, esso è uno standard certificabile ed auditabile e tale caratteristica si riflette anche a livello terminologico, laddove il verbo utilizzato per descrivere ciascuna azione di conformità ai requisiti prescritti è shall (con la precisazione, naturalmente, che come tutti gli standard di questo tipo, esso non ha carattere normativo o cogente, ma viene applicato su base volontaria, essendo l’organizzazione a scegliere di aderirvi).
Viceversa, lo standard ISO 27002 – al pari dei due più recenti standard 27018 e 27017 – costituisce un elenco di best practices, cioè fornisce semplici regole di buon comportamento, ossia linee guida di supporto in materia di gestione della sicurezza informatica nell’organizzazione. Tant’è che esso usa sempre il verbo should e mai shall nel condurre un’azione per raggiungere la conformità al requisito normativo.
Entrambi gli standard costituiscono pur sempre il framework di riferimento in materia di gestione della sicurezza delle informazioni; tuttavia essi sono fondamentalmente diretti a guidare e supportare i processi interni di gestione della sicurezza informatica, presupponendo che l’organizzazione che ad essi si conforma tratti per lo più informazioni proprie.
Tale presupposto, però, muta radicalmente in relazione all’adozione di soluzioni cloud based, ove le informazioni sono trattate esternamente all’organizzazione che ne possiede la titolarità e ove le responsabilità in materia di sicurezza informatica sono spesso condivise tra provider e customer. I nuovi standard specificamente diretti all’ambito cloud prendono, dunque, atto dell’esternalizzazione del trattamento delle informazioni connaturata a tali tipologie di servizi, apportando modifiche ai controlli di sicurezza già esistenti, ovvero prescrivendo, a seconda dei casi, controlli nuovi, in modo da declinare le best practices già previste nell’ambito dell’ISO 27002 al mutato contesto in cui vengono trattate e gestite le informazioni.
L’ISO 27017 è stata dunque emanata con la finalità dichiarata di delineare disposizioni in materia di controlli di sicurezza delle informazioni applicabili alla fornitura e all’uso dei servizi di cloud computing.
Processi di gestione di sicurezza in ottica di condivisione delle responsabilità
Essa richiama e specifica ciascuno dei 37 controlli già enucleati nelle 14 sezioni in cui si articola l’ISO 27002, fornendo, al contempo, delle linee guida aggiuntive finalizzate ad implementare i controlli elencati in quest’ultima, e prescrivendo, altresì, controlli aggiuntivi per mitigare i rischi e le minacce alla sicurezza delle informazioni che caratterizzano le modalità tecniche ed operative con cui vengono offerti e fruiti i servizi cloud.
E’ particolarmente interessante notare come la norma si rivolga, in maniera speculare e complementare, tanto ai cloud service providers, quanto ai cloud service customers, sottolineando la necessità che entrambe le parti del rapporto di servizio implementino al proprio interno specifici processi di gestione della sicurezza delle informazioni, in un regime di condivisione delle responsabilità che implichi, in capo al cloud service customer, l’onere di verificare la sussistenza di eventuali gap tra le proprie policy di sicurezza e i livelli di sicurezza garantiti dal servizio, e, in capo al cloud service provider, penetranti obblighi informativi e di collaborazione, anche sotto il profilo tecnico.
Da un punto di vista strettamente giuridico, grande importanza viene accordata alle previsioni contrattuali, prevedendosi che i ruoli e le responsabilità di ciascuna delle parti sotto il profilo della sicurezza informatica debbano essere chiaramente definiti nel contratto di servizio.
Tra le misure innovative enucleate dall’ISO 27017, da segnalare in particolare quelle che attengono a:
- Condivisione delle responsabilità
Il cloud service customer sarà tenuto a definire nuove policy o ad ampliare le proprie procedure già esistenti in conformità al proprio uso dei servizi cloud e, al tempo stesso, a rendere consapevoli i propri utenti finali circa le rispettive responsabilità nella fruizione dei servizi medesimi. Dal proprio canto, il cloud service provider dovrebbe garantire chiarezza e trasparenza circa i livelli di sicurezza informatica garantiti e le responsabilità che su di esso gravano.
- Restituzione e cancellazione delle informazioni del cliente
Il contratto dovrebbe contenere (e, in caso contrario, il cliente ha l’onere di richiedere) una dettagliata descrizione delle modalità e delle tempistiche di restituzione delle informazioni alla cessazione del rapporto.
- Obblighi di segregazione
Il cloud service provider dovrebbe assicurare misure di segregazione logica idonee a consentire la separazione delle risorse utilizzate dal cloud service customer, sia da quelle degli altri clienti, che da quelle utilizzate dal provider medesimo per proprie esigenze di gestione interna.
- Hardening delle virtual machine
Nella configurazione di macchine virtuali, ciascuna parte dovrà assicurarsi che siano adottate le misure tecniche adeguate (ad esempio, anti-malware, logging) per ogni macchina virtuale utilizzata.
- Monitoraggio del servizio
Il cliente dovrebbe essere messo in condizione di poter costantemente monitorare specifici aspetti del servizio fruito dagli utenti finali (ad esempio, in relazione alle procedure di logging, al rispetto degli SLA contrattualmente stabiliti, ecc.).
- Uniformità nella gestione della sicurezza per le reti virtuali e fisiche
Il provider deve definire e documentare una politica di sicurezza delle informazioni per la configurazione della rete virtuale coerente con la politica di sicurezza delle informazioni per la rete fisica.
Come dimostrare la conformità
Tre sono le modalità attraverso le quali il cloud service provider potrà dimostrare la propria conformità alle misure previste dallo standard:
- In primo luogo, il provider potrà obbligarsi contrattualmente nei confronti dei clienti al rispetto in tutto o in parte di quanto previsto nel nuovo standard. In tal caso, naturalmente, il dettato contrattuale farà discendere precisi obblighi e conseguenti responsabilità in caso di violazione, ma non equivarrà automaticamente a garanzia di compliance da parte del fornitore.
- Attraverso la certificazione condotta da una Società di Certificazione indipendente. A questo proposito, occorre ricordare che l’ISO 27017 costituisce un semplice codice di condotta, non cogente, che non può essere oggetto di autonoma certificazione. I requisiti aggiuntivi richiesti dalla norma, tuttavia, possono essere utilizzati in combinazione a quelli richiesti dall’ISO 27001 e 27002. Il nuovo standard può dunque essere certificato nell’ambito della certificazione ISO 27001.
- Il cloud service provider potrà auto-certificare la propria conformità alle regole ISO sulla base di un self-assessment, in quale non avrà naturalmente lo stesso valore di una certificazione proveniente da un terzo indipendente, ma dovrà essere comprovata e potrà essere a sua volta oggetto di audit da parte del cliente e, in caso di non conformità, andare incontro a smentita.
E’ ragionevole prevedere che l’adesione alla nuova certificazione costituirà un surplus distintivo rispetto alla generalità dei servizi offerti sul mercato, proprio come è avvenuto negli ultimi due anni con la certificazione ISO 27018, contribuendo ad orientare il mercato da un lato verso un innalzamento generale dei livelli di sicurezza ICT legati all’utilizzo di servizi cloud, dall’altro verso la diffusione prassi contrattuali e commerciali “virtuose” e conformi alla normativa di legge.
*Gabriele Faggioli, legale, CEO P4I – Partners4innovation, Presidente Clusit, Adjunt Professor MIP – Politecnico di Milano
*Annamaria Italiano, avvocato, P4I – Partners4innovation
