Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
In collaborazione con
27/06/2011
SOMMARIO
Di cloud si parla molto, forse anche troppo. Ma è evidente che si tratta della “grande cosa” capace di
trasformare radicalmente il mercato.
Qualcuno ha trovato una similitudine decisamente efficace: “è come quando le industrie
manifatturiere hanno smesso di autoprodurre l’energia elettrica all’interno dei propri stabilimenti e
si sono allacciati alla rete”.
“ICT as a commodity”, una volta per tutte.
Ma Kundra non si è limitato a “parlare”: ha anche agito. E da poco più di un anno è nato “Apps.gov”,
prima iniziativa federale sul cloud inquadrata all’interno di un piano complessivo che destina “alle
nuvole” non meno di 20 miliardi di dollari da qui al 2015.
Sempre dalle slides di Kundra, riusciamo a capire come e dove andranno a impattare le iniziative
governative sul cloud:
5
Questo White Paper, realizzato da Netics in collaborazione con Oracle Italia, si propone l’obiettivo di
“fotografare il fenomeno cloud” analizzandone i principali aspetti sotto il profilo dei modelli
architetturali e, soprattutto, “guardandolo” dal punto di vista della Pubblica Amministrazione
italiana. Tenteremo di dare risposte a domande quali:
Come il cloud può essere d’aiuto nel riefficientamento complessivo dell’IT pubblico
Come deve evolvere il quadro normativo in modo da garantire alla PA (e alla Sanità) un
“cloud sicuro e conforme alle disposizioni in materia di privacy”
Come deve evolvere il Sistema Pubblico di Connettività (SPC) in funzione del paradigma
cloud.
Quali sono, oltre all’esperienza USA, i principali casi di studio da prendere come riferimento
per chi vuole iniziare ad approcciare il tema del “Government on the Cloud”.
Netics ha approcciato questo tema partendo da un assunto di base: sarà oggettivamente molto
difficile arrivare in tempi brevi a una “PA tutta sul cloud” tentando di imitare il modello USA.
Praticamente impossibile immaginare soluzioni di “Public Cloud” per la Sanità (neppure gli USA ci
sono riusciti, nonostante si tratti di un “mondo” popolato in prevalenza da operatori privati) o per la
6
gestione di sistemi e dati sensibili (l’anagrafe demografica, per fare un esempio).
Sarà altrettanto difficile immaginare un cloud per la PA e la Sanità governato dagli “Over the Top”
e/o dagli operatori di telecomunicazioni.
Con ogni probabilità, il “government on the cloud” all’italiana sarà costruito secondo un’architettura
ibrida governata “dall’interno” (entità/agenzie governative, agenzie/società in-house regionali, altri
aggregatori di matrice pubblica) in modo da garantire indipendenza dai “lock-in” e sicurezza rispetto
ai dati e alla continuità dei processi.
Come “far evolvere” gli attuali data center pubblici (i quali, nella migliore delle ipotesi, oggi erogano
servizi di Application Providing) portandoli “sulla nuvola”? Come, soprattutto, approfittare di questa
occasione per recuperare efficienza e mettere a fattor comune gli asset, le competenze, il patrimonio
applicativo e informativo oggi sparso in mille rivoli all’interno della PA e della Sanità italiana?
“Government on the Cloud” vuole portare il suo contributo a questo dibattito, anche grazie alla
fattiva collaborazione di Assinter Italia e di tutte le società ICT “in-house” regionali. Le quali, senza
alcun dubbio, sono destinate a giocare un ruolo di assoluto primo piano sulla scena della nuvola
pubblica italiana.
Modelli architetturali
Caratteristiche
1. Self-service on-demand: possibilità di scegliere quali servizi usare e quando;
2. Accesso ubiquo alla rete: capacità fornite dal servizio sono disponibili sulla rete e disponibili
attraverso meccanismi standard che permettono l'utilizzo ad applicazioni eseguite su
piattaforme eterogenee
7
3. Condivisione delle risorse: indipendentemente dall’ubicazione delle stesse, le risorse fisiche
e virtuali sono assegnate dinamicamente secondo le esigenze degli utilizzatori.
4. Rapida elasticità: capacità di scalare verso l’alto ma anche verso il basso a seconda di diversi
fattori esterni e per periodi di tempo definibili dall’utente. L'utilizzatore, potendo acquistare
l'uso di risorse in qualsiasi quantità ed in qualunque momento, ha la percezione di una
disponibilità potenzialmente infinita.
5. Servizio misurabile: I sistemi cloud controllano ed ottimizzano automaticamente l'uso delle
risorse facendo leva sulla capacità di misura dell'uso delle tipologie di servizio (es. storage,
computing time, banda). L'utilizzo delle risorse può essere monitorato e controllato in modo
trasparente per il fornitore di servizio e l'utilizzatore.
Modelli di servizio
1. SaaS (Software as a Service) → Modello di applicazioni software implementate come un
servizio ospitato, il cui accesso è possibile attraverso Internet,erogato da un provider
2. PaaS (Platform as a Service) → Piattaforma per il deployment e l’esecuzione di applicazioni;
con questa dizione si intende la capacità, attribuita (ceduta) al consumatore, di dislocare
sull’infrastruttura cloud alcune applicazioni realizzate dal consumatore stesso o acquisite dal
mercato. Esse devono essere create utilizzando i linguaggi di programmazione o i tools
supportati dal provider dell’infrastruttura. Il consumatore non deve gestire l'infrastruttura
cloud, ma ha il controllo sulle applicazioni distribuite e, se possibile, anche sulle
configurazioni dell’ambiente di hosting applicativo.
3. IaaS (Infrastructure as a Service)→ Infrastruttura di ambiente virtuale (Virtual Machine);
permette di fornire al consumatore la capacità di acquisire le risorse di calcolo fondamentali
relative ai server, allo storage e alle reti.
Modelli di deployment
8
1. Private Cloud: L’accesso al servizio è limitato o il cliente finale ha un qualche
controllo/possesso sull’implementazione dello stesso
2. Public Cloud: L’accesso al servizio è ad ampia visibilità e resa disponibile per il grande
pubblico; il fornitore del servizio ha il pieno possesso e controllo dello stesso
3. Hybrid Cloud: Ambiente formato dall’unione di più provider interni e/o esterni. Questo
sistema permette di fruire dei vantaggi economici dei servizi erogati dai cloud pubblici
abbinati al controllo e alla conformità tipici dei cloud privati. Ad esempio, un’azienda può
disporre di un cloud privato e allo stesso tempo collaborare con un cloud provider che
fornisca capacità aggiuntiva a livello di storage o di infrastruttura.
4. Community Cloud: L'infrastruttura è condivisa da molte organizzazioni e supporta una
comunità di consumer che hanno gli stessi interessi.
Public Cloud Entrambi Private Cloud
Wente prosegue dicendo che il Private cloud computing offre il meglio dei due concetti chiave per
ogni impresa: sicurezza e innovazione.
Tale modello di deployment rappresenta un cambio di paradigma rispetto alla modalità con cui I
servizi vengono erogati e pagati: “Considerata la recente incertezza economica – prosegue il CIO – è
fondamentale come il Private Cloud permetta di ottenere benefici in termini di risparmio pur
mantenendo il pieno controllo delle proprie risorse”.
Dall’inizio del 2011 Boeing ha scelto di spingersi oltre e tentare la via del modello ibrido utilizzando
quindi una nuvola privata e una esterna ma assolutamente sicura. L’approccio ibrido prende il meglio
di ogni soluzione e offre una varietà di scelte che aprono una serie di opportunità. Secondo un
rapporto IDC, la domanda di questo tipo di approccio, conosciuto anche come Virtual Private Cloud, è
in forte crescita.
Fornitore - Offre servizi (server virtuali, storage, applicazioni complete, SaaS) generalmente
secondo un modello "pay-per-use"
Cliente amministratore - Sceglie e configura i servizi offerti dal fornitore, generalmente
offrendo un valore aggiunto come ad esempio verticalizzazioni alle applicazioni software
10
Cliente finale - Utilizza i servizi opportunamente configurati dal cliente amministratore.
Il cloud computing nel settore pubblico: una finestra sul mondo
Il Cloud Computing, considerato come parte fondamentale di una strategia per un uso efficiente ed
efficace delle tecnologie dell'informazione, è stato efficacemente adottato dal GSA – General
Services Administration – già
nel 2009.
Nel marzo di quell’anno, infatti,
il cloud è stato riconosciuto
come una priorità dell’IT
federale ed è stato creato il
Comitato Direttivo Esecutivo
per il Cloud Computing 11
(CCESC), che avrebbe diretto la
cosiddetta Federal Cloud
Computing Iniziative (FCCI), il
cui obiettivo consisteva nel
rendere i servizi cloud
accessibili e facilmente
Figura 1 – I benefici del cloud: efficienza, rapidità, innovazione (Fonte: Federal Cloud
Computing Strategy, Febbraio 2011) ottenibili dalle agenzie federali.
Nei documenti di presentazione della FCCI, la nuvola è stata presentata come soluzione conveniente,
ecologica e sostenibile: si tratta sicuramente di tre aggettivi scelti con cura, con l’intenzione di
sottolineare quanto il cloud poteva (e possa tutt’ora) rispondere efficacemente alle criticità che una
Pubblica Amministrazione incontra, avendo a disposizione budget sempre più limitati e dovendo
rispettare le direttive sull’ecosostenibilità. Sul sito del GSA, il cloud è considerato “un’opportunità
*per il Governo federale+ per colmare il gap delle performance nel settore IT”.
Tra i punti di forza riconosciuti al cloud dal GSA figuravano la semplice e rapida acquisizione e
certificazione dei processi, una distribuzione flessibile delle risorse di calcolo, la disponibilità di
strumenti portabili, riutilizzabili ed interoperabili, l’accesso ai servizi assicurato ovunque – poiché
basato su una semplice connessione internet – e l’utilizzabilità delle soluzioni in qualsiasi momento,
in quanto, per definizione, “always on”.
12
Figura 2 - Gli obiettivi dell'iniziativa per il cloud (Fonte: Cloud Computing Discussion: CIO Council Initiative, Primavera 2009)
Le attività di partenza hanno previsto il trasferimento sulla nuvola di tutte quelle applicazioni “non
critiche”, quali ad esempio i servizi di posta elettronica e le soluzioni SaaS e PaaS che consentono un
rapido accesso a strumenti e servizi.
Uno dei principali driver di implementazione della nuvola, in ogni caso, è la centralizzazione del
processo di certificazione delle soluzioni Cloud. Appare necessario – negli Stati Uniti più che altrove –
stabilire un meccanismo preciso attraverso il quale queste soluzioni possano essere adottate
facilmente, rispettando norme comuni di sicurezza e consentendo portabilità dei dati e
interoperabilità tra le centinaia di agenzie e dipartimenti presenti sul territorio federale: senza
questo meccanismo, infatti, il cloud computing non potrà mai fornire i benefici attesi in termini di
risparmio e di efficienza.
Per questo motivo, al National Institute of Standards and Technology (NIST) è stato affidato il
compito – in collaborazione con agenzie governative, mondo industriale e mondo accademico – di
garantire che siano in atto norme adeguate; inoltre, dovrà costantemente verificare che le soluzioni
cloud-based adottate rispettino le norme e i requisiti di sicurezza stabiliti. In questo modo, la
certificazione a livello “centrale” aumenterà la velocità di acquisto delle soluzioni, ma ridurrà anche il
costo della certificazione: i soldi che sarebbero stati spesi per chiedere l'approvazione delle soluzioni
del singolo dipartimento, potranno essere impiegati per la sicurezza.
13
Figura 3 - L'offerta per gli utenti (Fonte: Cloud Computing Discussion: CIO Council Initiative, Primavera 2009)
Un altro aspetto che sicuramente merita attenzione nel caso del Cloud per il GSA è il timing previsto
per l’“inaugurazione pubblica” del progetto, identificabile con la messa online di Apps.Gov, il sito
internet creato appositamente per rendere più semplice l’accesso ai servizi cloud per i clienti della
Pubblica Amministrazione.
Figura 4 - Gestione del programma per il cloud, timeline per l'anno 2009 (Fonte: Cloud
Computing in the Federal Sector, Gennaio 2010)
Come si evince dalla figura precedente, il lancio di Apps.Gov ha richiesto solamente nove mesi, dal
gennaio al settembre 2009. In tre trimestri, infatti, sono state condotte tutte le operazioni necessarie
a favorire quantomeno la migrazione 14
Canada
Nell’ottobre del 2009, il CTO del PWGSC (Public Works Government Services Canada) ha
pubblicato un white paper intitolato “Cloud Computing and the Canadian Environment”. La
strategia canadese per il cloud si basa sulla necessità di adottare la nuvola per i benefici rilevati
in merito alla riduzione dei costi operativi, un decremento della spesa capitale e una migliore
possibilità di gestione della pubblica amministrazione, caratterizzata da una forte
decentralizzazione e da un crescente livello di delega delle responsabilità dal governo federale
ai governi locali. Il cloud ha permesso il consolidamento dei 144 data center canadesi e la
disintermediazione delle funzioni IT in ciascuno dei 140 dipartimenti del governo federale,
ciascuno dei quali possiede un proprio CIO.
Il Dipartimento del Tesoro è riuscito a far raggiungere un accordo sul linguaggio e le definizioni
per il cloud tra i diversi dipartimenti ed ha ottenuto l’approvazione per un piano d’azione
federale. Dopo aver perfezionato l’architettura di sicurezza, il Governo federale ha predisposto
dal gennaio 2010 una community cloud per le retribuzioni, per le pensioni, per il CampusDirect 15
(la Canada School of Public Service) e per la GC Intranet (Government of Canada Intranet).
Nel breve termine, gli obiettivi hanno riguardato l’uso del SaaS per la collaborazione interna,
del PaaS per il web hosting e dello IaaS per lo storage virtuale. Nel lungo periodo, si prevede
che il SaaS fornirà uffici virtuali, il PaaS sarà utilizzato per applicazioni cloud-based e per il
database hosting e lo IaaS sarà usato per il peering tra dipartimenti pubblici e privati.
La strategia canadese per il cloud prevede anche uno sguardo “all’esterno”, promuovendo il
Paese come un esportatore di servizi di Cloud Computing.
Irlanda
In riferimento all’Irlanda, l’OECD nel 2009 ha rilevato successi notevoli per quanto
riguarda lo sviluppo dei sistemi interni di e-government, ma maggiori difficoltà in merito
alla cooperazione tra i diversi settori pubblici. Sostanzialmente, come organizzazione della
pubblica amministrazione, l’Irlanda si configura come un Paese fortemente centralizzato,
con livelli molto bassi di decentralizzazione. Sebbene abbia avviato alcune iniziative per la
riforma del settore pubblico, ad esempio attraverso la creazione di dipartimenti, il
governo centrale detiene ancora la possibilità di influenzare notevolmente la loro
“indipendenza”.
Uno dei primi passi concreti è stato fatto dal Local Government Computer Services Board,
che ha sviluppato un’applicazione cloud per collegare tutti i programmi di pianificazione
locali approvati su una singola mappa online. Altre applicazioni cloud sono state
sviluppate per favorire la condivisione tra diversi dipartimenti del settore pubblico, per
supportarli nel fornire servizi di alta qualità e nell’aumentare la produttività riducendo la
spesa pubblica.
Nonostante ciò, il cloud computing è ancora una questione controversa nel settore
pubblico irlandese, soprattutto dopo che il Chief State Solicitor ha inviato una mail ai
dipartimenti di stato sottolineando che "questioni come la protezione dei dati, la
riservatezza, la sicurezza e la responsabilità non sono trattate in maniera sufficientemente
adeguata per le responsabilità del settore pubblico ". Inoltre, un recente rapporto
dell’Irish Internet Association (IIA) ha dichiarato che un numero molto limitato di enti
pubblici vedrà i benefici del cloud computing in termini di risparmio dei soldi e maggiore
produttività.
Danimarca
Da un rapporto del 2010 sullo stato dell’IT nella nazione è emerso che circa il 45% delle
società intervistate del settore pubblico e privato progettano di iniziare ad utilizzare il
cloud nei prossimi tre anni. Questo rapporto è poi stato utilizzato come base per
promuovere il digital working programme del governo, attraverso il quale il Ministero per
la Scienza, la Tecnologia e l’Innovazione intende rendere la Danimarca “una società ad
alta velocità”. In riferimento al cloud, l’accento è posto sui risparmi economici e
ambientali (in termini di consumo di energia) conseguibili, in particolare nel settore
pubblico. L'adozione del cloud dovrebbe portare a un risparmio economico stimato
attorno al miliardo di corone danesi (circa € 134 milioni, in base al tasso di cambio attuale
– giugno 2011).
Per diventare una “società ad alta velocità”, nel gennaio 2010 si è stabilito quanto segue:
La Danimarca deve diventare una nazione leader nel cloud e nell’IT in genere. Il 17
governo dovrà investire molto sul cloud computing ma, essendo la Danimarca un
Paese abbastanza “piccolo”, non disporrà mai delle economie di scala sufficienti a
costruire una propria nuvola: dovrà quindi concentrarsi sullo sviluppo delle
infrastrutture necessarie per un uso sempre maggiore delle soluzioni di cloud
computing. Le notevoli dimensioni del settore pubblico, specie se comparate con
quelle di altri settori, ne fanno in ogni caso un cliente potenzialmente interessante per
i fornitori di cloud computing e di servizi cloud-based.
Il settore pubblico deve avviare progetti sul cloud computing. L’obiettivo principale
dovrebbe essere quello di raccogliere esperienze e consulenze sull'uso di cloud
computing nel settore pubblico per riuscire a garantire condizioni di
abbonamento/convenzioni chiare ed interessanti, nuovi paradigmi per la sicurezza,
etc. Lo scopo principale, quindi, è quello di chiarire come utilizzare cloud soluzioni
disponibili in modo sicuro.
L’IT University, in collaborazione con l’agenzia NITA (National IT and Telecom Agency) del
Ministero per la Scienza, la Tecnologia e l’Innovazione è stata scelta come banco di prova
per il cloud. Questa scelta rientra nella strategia del ministero atta a rafforzare la
digitalizzazione delle università, come mezzo per aumentare le possibilità di ricerca e
innovazione e per migliorare l'utilizzo delle risorse esistenti.
Giappone
La strategia giapponese per il Cloud Computing è molto ambiziosa e mira alla creazione di
nuovi mercati oltre a rinnovare ed incrementare la diffusione delle ICT. La nuvola è ritenuta
fondamentale per “consentire all'intero sistema sociale, oltre i confini delle imprese e delle
industrie, di mettere in comune e condividere una quantità enorme di informazioni e
conoscenze, facilitando lo sviluppo di una "società della conoscenza e
dell'informazione"(MIC 2010)”. Sono stati individuati tre principi di base per l'utilizzo diffuso
di servizi cloud:
Il METI ha invece proposto una politica di promozione del cloud impegnata su tre fronti:
È attesa una diffusione delle soluzioni cloud in diversi settori, inclusi quello dell’istruzione
(incentivando l'utilizzo di pratici sistemi di formazione a distanza basati sulla collaborazione
tra industria, università e governo e l’informatizzazione dell’attività amministrativa della
scuola) e della sanità (incrementando l'efficienza dei servizi sanitari mediante ASP, SaaS e
tecnologie di rete, disponibili sempre e ovunque).
Regno Unito
La struttura organizzativa del sistema di governance del Regno Unito è molto centralizzata: le
amministrazioni locali ricevono i fondi dalla centrale e la centrale è responsabile di buona
parte dei servizi pubblici, compresa la sanità. C’è un elevato decentramento nei confronti delle
unità locali, ma queste ultime sono strettamente controllate dai ministeri e dai dipartimenti di
ordine superiore.
La strategia inglese per le ICT vede il cloud come una chance per aumentare le performance e
la sicurezza, ridurre i costi e accelerare la velocità di diffusione [delle ICT]". Questa strategia
deve essere considerata nel contesto più ampio dell’Agenda Digitale che prevede che il
governo assuma il ruolo di guida nella preparazione di un’ampia strategia digitale per il Paese,
avendo un impatto notevole sull’economia digitale in quanto fornitore di servizi pubblici e
influencer sul mercato, oltre che finanziatore per ricerca e sviluppo.
- La Data Center Strategy, per razionalizzare i 500 data center utilizzati dal governo,
dalle forze politiche e dalle autorità locali in 12 data center ad elevata sicurezza
- Il Government Applications Store (G-AS), che diventerà un mercato online per la
condivisione e il riutilizzo delle applicazioni business (con un sistema di pagamento
basato sul pay per use), con l’obiettivo di ridurre i costi dei software in tutto il settore 19
pubblico e accelerare gli appalti
- Il sistema degli Shared Services, per cui entro il 2020 il G-Cloud e G-AS insieme
soddisferanno le esigenze di business interno della maggior parte delle organizzazioni
del settore pubblico, mentre numerose attività di back-office saranno rese accessibili a
tutte le organizzazioni del settore pubblico e ai lavoratori tramite un portale on-line.
Mentre la strategia G-Cloud appare quasi “monolitica”, in realtà finora l’approccio inglese al
cloud ha visto l'adozione della nuvola su base regionale, attraverso organizzazioni come
consigli cittadini o corpi di polizia regionali.
Per questo motivo, è opinione di molti che la strategia debba essere adattata e resa il più
possibile applicabile al governo locale, piuttosto che essere plasmata per il governo centrale:
le opportunità di consolidamento della tecnologia sembrano più adeguate per il governo
locale che, essendo più snello, può adattarsi più facilmente alle diverse iniziative.
Il cloud per la PA e la Sanità italiana
20
Il tutto, “con contorno di CAD”: ossia all’interno di un contesto in profonda trasformazione reso
ancora più dinamico dall’introduzione di principi quali la “premialità per gli innovatori” e il
“sanzionamento dei ritardatari”. Ma reso anche estremamente complicato dalla situazione di cassa
dello Stato, delle Regioni e delle Autonomie Locali: “soldi pochi, bisogni tanti”.
Anche attraverso questa ulteriore chiave di lettura traspare evidente “la grande opportunità” per il
cloud. Tutto sta nell’arrivare in fondo all’equazione “riusciranno i nuovi investimenti a essere
interamente coperti dalle economie conseguibili nei primi 2-3 anni?”. Se i numeri di Kundra fossero
applicabili “tout court” anche in Italia, verrebbe da rispondere di sì. “Yes, we can”, per rimanere in
tema.
Ad oggi, le norme impongono alla PA italiana vincoli piuttosto significativi a partire da quelli relativi
alla “identificabilità del luogo fisico dei data center”. Norma che viene (forse, per eccesso di zelo)
interpretata come “un Ente, un Data Center”, provocando non pochi grattacapi a chi tenta di
razionalizzare una spesa (non meno di 750-800 milioni di euro all’anno, secondo stime Netics) e un
insieme di asset (900 server solo nella PA centrale, 4.500 nelle Regioni, altre svariate migliaia nei
Comuni e nelle Province) sempre più fuori controllo. Per non parlare degli aspetti relativi alla
sicurezza, regolati da un insieme di norme adeguate a un paradigma tecnologico ormai superato. E,
last but not least, dai problemi relativi alla tutela dei dati e della privacy.
Di come si stia lavorando all’adeguamento del quadro normativo, tratteremo più avanti. Rimaniamo,
per ora, al modello di possibile evoluzione dello scenario di adozione del “paradigma Cloud” nella PA
italiana. Aldilà degli “slogan” e delle ambizioni di “conquista” di un mercato ancora aldilà dall’essere
maturo ma sicuramente promettente.
E’ già ormai piuttosto 21
chiaro che gli spazi sul
cloud per operatori
“general purpose” (a
partire da Google)
appaiono confinati ad
ambiti “di commodity”
quali ad esempio la posta
elettronica e gli strumenti
di produttività individuale.
Ed è altrettanto chiaro che le istituzioni guardano con un minimo di (giustificato) sospetto verso i
“cloudbuster” privati, siano essi rappresentati dagli “Over the Top” (ancora Google, ma anche
Amazon) e/o dai “grandi proprietari/gestori di data center sparsi per il mondo”.
E’ evidente a questo punto che l’unico modello di cloud capace di imporsi in ambito PA e Sanità ha a
che fare con un’architettura rigorosamente privata (ibrida, se vogliamo, in quanto aperta a
“possibilità” per operatori “cloudbuster” in ambiti quali la posta, le piattaforme di collaboration, il
“Platform as a Service”) calata in un contesto di “proprietà/governance” rigorosamente pubblica.
Magari “consortile”, sul modello CINECA per quanto riguarda il mondo accademico e della ricerca, o
sul modello del “centro di supercalcolo” realizzato da CSI Piemonte vent’anni fa. Un po’ come sta
succedendo in Francia e in Spagna, con i vari consorzi nati per supportare i Comuni nell’innovazione
tecnologica.
Se questo è lo scenario “presumibile”, allora le varie società ICT in-house (con particolare riferimento
a quelle a dimensione regionale) sono destinate a diventare i “Public Cloudbuster” dell’immediato
futuro. Con, altrettanto presumibilmente, una SOGEI destinata a diventare il “Cloudbuster” della PA
centrale. Completano il quadro “futuribile” un “Cloud dell’Università e Ricerca” (CINECA) e un “Cloud
del sistema camerale” (InfoCamere). E una serie di “punti interrogativi”, rappresentati dal mondo
delle Autonomie Locali.
L’auspicio è che tutte queste “nuvole” nascano a partire da una visione condivisa e finalizzata alla 22
“messa a sistema” delle risorse. A partire da un disegno “comune” rispetto al modello architetturale
di riferimento, e sino ad arrivare ad un’ipotesi di “federazione delle nuvole pubbliche” finalizzata a
costruire le condizioni necessarie a “mandare in soffitta”, una volta per sempre, il problema della non
interoperabilità dei sistemi. Se il CAD, recentemente rivisitato, può rappresentare un ottimo punto di
partenza, ci si augura che l’imminente ridisegno del Sistema Pubblico di Connettività (SPC) venga
attuato tenendo nell’adeguata considerazione i modelli di deployment introdotti dal Cloud.
1
“Pubblica Amministrazione che si trasforma: Cloud Computing, Federalismo, Interoperabilità”, speech di Alessandro
Osnaghi a Forum PA 2011.
“Non si tratta tanto di pensare a una nuvola “esclusiva dell’amministrazione” ma a
un’infrastruttura tecnologica nazionale che renda disponibili servizi certificati, erogati da
soggetti accreditati, che rispondono dal punto di vista funzionale, tecnico, contrattuale e
soprattutto di fiducia, ai requisiti funzionali e normativi prescritti per le amministrazioni. Se, ad
esempio, alcuni dati devono risiedere sul territorio nazionale, quest’opzione deve poter essere
garantita.
Realizzare un cloud di comunità nell’ambito del quale i servizi sono erogati essenzialmente da
soggetti privati accreditati non è solo complesso per gli aspetti tecnici organizzativi e di
governance, ma soprattutto per la necessità di rivedere gli strumenti normativi e regolamentari
abilitanti o di predisporne di nuovi. Ricordo che alcuni servizi critici, ad esempio quelli relativi alla
firma digitale, sono stati affidati a soggetti privati fiduciari che operano in modo conforme al CAD
e altri se ne potrebbero aggiungere, come ad esempio i servizi di Identity Management, anch’essi
un prerequisito per il cloud computing e l’interoperabilità.
Per evidenziare alcune delle situazioni di criticità riprendo l’esempio di una scuola o di un piccolo
comune che decidano di virtualizzare i loro server trasferendo quindi nella nuvola le basi dati che
contengono dati personali. Questo, alla condizione di sapere dove si trovano i dati, sarebbe
possibile già ora e in questo modo queste amministrazioni potrebbero assicurarsi anche i servizi di
continuità operativa e di disaster recovery. Se tutto è trasferito nella nuvola presso un CSP (Cloud
Service Provider), nella scuola o nel comune restano solo il router e le stazioni di lavoro e si accede
al server virtuale attraverso i servizi di un ISP (Internet Service Provider). Nei fatti il titolare del
trattamento dati (il sindaco o il preside) può essere direttamente responsabile solo della loro 23
certificazione, l’ISP ha nei fatti la responsabilità di garantire l’integrità e la confidenzialità nel
trasferimento delle informazioni al CSP, mentre la responsabilità del controllo dell’accesso e della
disponibilità, ma anche dell’integrità e confidenzialità è di fatto sotto il controllo diretto del CSP.”
Se sia quella nazionale o, viceversa, quella regionale federata la dimensione più adeguata al “Cloud
della PA” è, a questo livello del dibattito, un dettaglio trascurabile. E’ invece molto interessante (e
sintomo di quanto Osnaghi rappresenti ancora una risorsa importante all’interno della comunità di
chi si occupa di ICT nella PA italiana) vedere come l’autore – giustamente – identifica il Cloud come
“la grande opportunità” per gli enti di dimensioni minori (i piccoli Comuni, le scuole).
Anche per questa ragione, è importante che la costruzione del “nuovo catalogo di servizi SPC” tenga
in adeguata considerazione le opportunità offerte dal Cloud. Anche attraverso la valorizzazione di
tutto il lavoro che – nel frattempo – i Centri Tecnici Regionali di SPC sapranno costruire in termini di
offerta di servizi innovativi.
Il quadro normativo e le prospettive di evoluzione
Introduzione
Da un punto di vista giuridico, il cloud computing si traduce nella condivisione e conservazione, da
parte degli utenti, di dati o applicazioni su server solitamente gestiti da terzi, ai quali si accede
attraverso Internet. Al di là, quindi, degli indubbi vantaggi in termini di contenimento dei costi e
incremento dell’efficienza, ciò che può essere fonte di preoccupazione è proprio il flusso di dati che
viaggia verso la nuvola ed in essa risiede. Dato che le offerte cloud si rivolgono tanto a privati e
aziende quanto alla PA, è evidente che particolare attenzione deve essere posta alla riservatezza e
alla sicurezza dei dati. A tal proposito, però, occorre prendere atto di ciò che si delinea come un
momentaneo vuoto normativo: sia a livello italiano che europeo, attualmente, mancano delle norme
specifiche che si occupino della protezione dei dati nell’ambito dei servizi di cloud computing. Per
tale ragione, è necessario rifarsi alla generica normativa sulla protezione dei dati che, però, posta di
fronte all’innovazione della nuvola presenta alcune criticità. Se è certo che il superamento vero e
proprio di tali ostacoli normativi è possibile solo attraverso un intervento del legislatore è, tuttavia,
anche vero che, nell’attesa che ciò abbia luogo, è sempre possibile per un’amministrazione pubblica 24
(e più in generale per un qualsiasi soggetto interessato ad adottare soluzioni cloud) scegliere il
fornitore cui affidarsi, prestando particolare attenzione alla definizione degli aspetti legati alle
problematiche giuridiche più rilevanti.
In Italia, le prime due direttive sono state recepite all’interno del Decreto legislativo 30 giugno 2003,
n. 196 intitolato Codice in materia di protezione dei dati personali (ma più comunemente noto
come Testo Unico sulla privacy o Codice Privacy), mentre la terza direttiva è stata recepita nel
Decreto legislativo 30 maggio 2008, n. 109.
Un dato personale è una qualunque informazione relativa a persona fisica, persona giuridica, ente o
associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale (articolo 4, comma 1, lettera b.
del Codice Privacy). Da notare che anche immagini e suoni sono dei dati personali.
Qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più
siti, va a costituire una banca di dati (articolo 4, comma 1, lettera p. del Codice Privacy).
Per far valere un proprio diritto, l’interessato deve limitarsi a inviare un’apposita richiesta al
responsabile o la titolare. Quest’ultimo, di contro, ha l’obbligo di:
garantire che i diritti dell’interessato siano rispettati (per esempio, il diritto di avere
informazioni generali sui dati personali, il diritto di accesso ai propri dati, etc.);
garantire che i dati dell’interessato siano trattati lealmente e lecitamente e rilevati per
finalità determinate, esplicite e legittime. Essi devono inoltre essere esatti e, se necessario,
aggiornati;
27
garantire la riservatezza del trattamento;
garantire la sicurezza del trattamento;
garantire un livello adeguato di protezione quando il trasferimento di dati avviene in paesi al
di fuori dell'UE.
Nel caso in cui l’interessato riscontri una violazione dei propri diritti, può presentare un reclamo
presso l’Autorità Garante della Protezione dei Dati Personali, istituita in tutti gli Stati membri.
L’Autorità ha il compito di assicurare che i diritti e gli obblighi siano rispettati, riceve ed esamina i
ricorsi presentati dagli interessati e può vietare il trattamento dei dati.
Infine, per completare questo breve quadro normativo di riferimento, è utile ricordare che, dal punto
di vista dei profili di responsabilità, sono previste sanzioni non solo di carattere civile e
amministrativo ma anche penale, a carico del titolare ma pure del responsabile e degli incaricati del
trattamento.
La questione della sicurezza
Come già sottolineato in precedenza, tra gli obblighi del titolare del trattamento vi è quello di
garantire delle adeguate misure di sicurezza infatti, come sancito nel Codice (art. 31) i dati devono
essere custoditi e controllati con l’adozione di misure di sicurezza preventive e idonee a ridurre al
minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di
trattamento illecito. In particolar modo, nel caso di trattamento dei dati personali effettuato con
strumenti elettronici (art. 34), questo è consentito solo se il titolare dimostra di adottare, nei modi
previsti dal Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B. del Codice), delle
precise misure minime quali, ad esempio: un sistema di autenticazione e autorizzazione informatica,
un aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati, un sistema di protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti
e accessi non consentiti, l’adozione di procedure per la custodia di copie di sicurezza e il ripristino
della disponibilità dei dati e dei sistemi e, infine, la tenuta di un aggiornato documento
programmatico sulla sicurezza.
All’interno dei servizi di cloud computing, tale complessità non può che aumentare anche a causa di
un’inevitabile perdita di controllo:
«Occorre riflettere anche sui rischi che pone la nuova tecnologia del “cloud computing”,
con la quale i dati verranno sempre più sottratti alla disponibilità materiale di chi li
produce e usa, e gestiti da enormi server collocati in ogni parte del pianeta»
(Francesco Pizzetti – Presidente del Garante per la protezione dei Dati Personali)
La perdita di controllo sui dati è relativa alle cosiddette “3 W”, infatti una PA, sulla quale per legge
grava l’onere della protezione dei dati di sua competenza, nell’optare per una soluzione cloud si
trova di fronte i seguenti interrogativi:
Chi può accedere ai dati (Who)?
Cosa viene fatto con i dati (What)?
Dove si trovano i dati (Where)?
Sotto questi tre punti di vista è, dunque, inevitabile una perdita, quantomeno parziale, del potere di
controllo sui dati, con tutti i rischi che ciò comporta, in particolare in termini delle possibili
responsabilità alle quali la PA si espone nei confronti dei soggetti terzi interessati (cittadini,
dipendenti, fornitori, etc.) per eventuali violazioni della normativa in materia di privacy e sicurezza
delle informazioni.
Trasferimento di dati verso i soli Paesi che offrono garanzie adeguate: ad oggi si tratta solo di 31
Svizzera, Canada, Argentina, Isola di Guernsey, Isola di Man, Isola di Jersey, Isole Far Oer,
Andorra, USA (ma limitatamente alle imprese che aderiscono al c.d. Safe Harbor);
Inserimento nel contratto delle clausole contrattuali standard approvate dalla Commissione
europea;
Previsione di Binding Corporate Rules (applicabili tuttavia solo ai trasferimenti di dati
all’interno di gruppi di società);
Consenso espresso dell’interessato, ai sensi dell’art. 43 del Codice.
Non tutte, però, le suddette vie sono percorribili nel caso del cloud computing, infatti – tra gli
strumenti ammessi dall’Unione Europea – l’unico che sembra adattarsi in modo adeguato alle
particolari esigenze della nuvola pare essere l’adozione del set di clausole contrattuali standard per il
trasferimento di dati personali a paesi terzi (descritte nelle decisioni della Commissione europea
2004/915/CE e 2010/87/UE).
Le altre modalità di trasferimento, invece, appaiono difficilmente adattabili alla cloud. Ad esempio, le
Binding Corporate Rules, cioè regole per i trasferimenti internazionali di dati infragruppo, non sono
applicabili per i trasferimenti che hanno luogo all'esterno di uno stesso gruppo societario. I principi
del Safe Harbor (il protocollo che regola i trasferimenti di dati verso gli Stati Uniti), oltre a valere solo
per le imprese statunitensi che vi aderiscono su base volontaria, non sono estensibili ad altri Pesi
extra Ue. Inoltre, nel giugno 2010, un’Autorità Garante europea (per la precisione quella tedesca) si è
espressa ritenendo le misure sancite dal Safe Harbor non idonee ad offrire adeguate garanzie di
protezione dei dati nel contesto dei servizi cloud.
«La direttiva Ue sulla privacy è ormai obsoleta, bisogna rivederla con un accordo
internazionale. E, nell'attesa, sarebbe opportuno che i fornitori "notificassero" (cioè
sottoponessero) i propri servizi cloud ai Garanti europei»
(Francesco Pizzetti, Presidente dell'Autorità Garante della Privacy italiana)
In attesa:
degli interventi normativi comunitari (la Commissione Europea ha annunciato per l’estate
2011 la presentazione di una proposta di modifica della normativa privacy), volti a far si che i
dati dei cittadini europei vengano trattati secondo le regole europee, indipendentemente
dalla nazionalità dell’azienda o dalla posizione geografica del dato,
e delle linee guida del Garante italiano in materia di cloud computing, annunciate al ForumPA
2011 dal Presidente Francesco Pizzetti e attese per l’estate di quest’anno,
un’amministrazione pubblica (e in generale un qualsiasi soggetto interessato ad adottare soluzioni
cloud) può decidere di non accedere in ritardo ai vantaggi offerti dalla nuvola e di riacquisire il
controllo dei dati, scegliendo accuratamente il fornitore cui affidarsi, cioè prestando particolare
attenzione alla definizione degli aspetti legati alle problematiche giuridiche più rilevanti. Questa è
anche l’idea dell’Avv. Ernesto Belisario2 che, in un suo recente articolo pubblicato su “LeggiOggi.it”,
ha addirittura delineato un’apposita check list, per la valutazione di un potenziale cloud provider, che 33
tenga conto di tutte le problematiche giuridiche più rilevanti.
2
Esperto di diritto delle nuove tecnologie, Docente presso l’Università degli Studi della Basilicata, autore di
numerose pubblicazioni sui temi del Diritto Amministrativo e dell’Information Technology Law nonché
consulente del Ministero per la Pubblica Amministrazione e Innovazione per le tematiche inerenti il Codice
dell’Amministrazione Digitale.
Check list per la valutazione di un fornitore di soluzioni cloud (estratta da “Cloud computing: quale legge
tra le nuvole?”, Avv. Ernesto Belisario, LeggiOggi.it, 18/Febbraio/2011)
Pertanto, dovranno preferirsi quei fornitori che, al contrario, si impegnino a garantire un livello minimo di
servizio misurabile in base a parametri oggettivi; specialmente gli utenti professionali dovranno prestare
grande importanza alla disponibilità costante dei servizi che evitino interruzioni nell’erogazione. In
proposito, è raccomandabile che vengano definiti parametri tecnici oggettivi e misurabili (tra cui “uptime”,
tempi di risposta, tempo di presa in carico dei servizi, ecc.); è altresì opportuno che l’atto con il quale le
parti esprimono il loro accordo in merito (c.d. SLA, Service Level Agreement) venga allegato al contratto.
Sul punto particolarmente importante dovrà essere la regolamentazione della responsabilità nel caso di
eventuali violazioni o incidenti, nella consapevolezza che nel nostro ordinamento – in base all’art. 1229
Codice Civile – è nullo qualsiasi patto diretto ad escludere o limitare preventivamente la responsabilità del
fornitore per dolo o colpa grave.
34
In materia di sicurezza, l’Amministrazione dovrà verificare che il fornitore rispetti gli obblighi di protezione
imposti dal Codice Privacy (D. Lgs. n. 196/2003); inoltre, bisognerà doverosamente verificare che
l’outsourcing non comporti il trasferimento dei dati in un Paese posto al di fuori dei confini della Comunità
Europea a causa dei limiti imposti dalla normativa vigente.
(continua)
L’esame preventivo di questi aspetti da parte dell’utente è già oggi in grado di limitare molti dei principali
inconvenienti giuridici legati al cloud; in attesa di nuove leggi specifiche, che non sappiamo se e quando
arriveranno, bisogna puntare sulla consapevolezza del consumatore, dell’azienda, dell’amministrazione.
35
In definitiva, in attesa di interventi che adattino la normativa esistente in materia di privacy alle sfide
che il mercato pone nel settore del cloud computing, le PA titolari possono comunque puntare a
riacquisire il controllo sui dati preferendo cloud provider:
Di contro, è possibile ipotizzare che per i provider diventino rilevanti fattori di competitività quali la
trasparenza, sia al momento della instaurazione della relazione contrattuale (ad esempio in merito
alla collocazione dei data center e alle strategie adottate per la tutela della privacy), sia nel corso del 36
rapporto (attraverso la tempestiva notifica di eventuali accessi abusivi), e l'offerta di adeguate
garanzie in termini di misure di sicurezza (eventualmente anche mediante certificazioni di enti
accreditati).
Tutto questo per dire che di fronte alla cloud, nonostante le attuali zone d’ombra normative:
In questo capitolo attraverso un’intervista al Dott. Daniele Tatti, Coordinatore del gruppo di lavoro
sul Cloud Computing di DigitPA, si vuole indagare la posizione dell’Ente nei confronti della “nuvola”,
prestando particolare attenzione alle azioni avviate per comprendere l’impatto del cloud sul Sistema
Pubblico di Connettività.
1. Si parla sempre più tra gli addetti ai lavori in ICT, di cloud computing. A suo avviso, quanto il
ricorso a soluzioni cloud può supportare il processo di realizzazione dell’Amministrazione Digitale
italiana? Quali ritiene siano, invece, i principali limiti ed ostacoli correlati all’impiego di questo
paradigma all’interno della realtà della Pubblica Amministrazione italiana?
Risposta
Da quello che è possibile comprendere oggi, i servizi cloud produrranno vantaggi generalizzati di
natura essenzialmente economica perché si basano su ottimizzazioni di carattere generale e su
larghissima scala. Altri possibili vantaggi, come la promozione di una maggiore razionalità delle
infrastrutture e delle applicazioni ICT, si intravvedono per le grandi organizzazioni, comprese
37
evidentemente le maggiori pubbliche amministrazioni.
Tenendo presenti la qualità, la semplicità e la raffinatezza dei servizi online sui quali si è basato lo
sviluppo del cloud computing (motori di ricerca, web mail, e-commerce, applicazioni
georeferenziate), ci si può attendere come ulteriore effetto la promozione di un migliore rapporto
tra utenti e fornitori di servizi online, di cui forse le pubbliche amministrazioni potrebbero
avvantaggiarsi più di altri soggetti. Le economie di scala tipiche del cloud sono state raggiunte
attraverso una sorta di co-ingegnerizzazione delle infrastrutture, dei dati e delle applicazioni
attorno all’utente finale. Questo fatto potrebbe suggerire di ripensare alcuni aspetti dell’ICT
pubblica in vista dell’ottenimento di vantaggi analoghi.
È certo verosimile che il contesto informativo, organizzativo e soprattutto legale della pubblica
amministrazione ponga ostacoli all’impiego dei servizi cloud, ma ritengo personalmente che le
opportunità siano nettamente superiori alle minacce e che quindi un atteggiamento pragmatico
possa dissipare molti dubbi, compresi quelli concernenti la sicurezza e la privacy nel cloud.
2. Qual è, a suo avviso, l’impatto della “nuvola” sull’insieme di servizi offerti dal SPC? Per ciascuno
dei modelli di servizi cloud (IaaS, PaaS e SaaS), quali sono le principali ipotesi di intervento che
ritiene possibili sia sull’infrastruttura ICT sia sui servizi (di back office e di front office) della PA?
Risposta
È difficile prevedere quale impatto avrà il cloud sui servizi offerti da SPC. Non è forse un caso che il
gruppo di lavoro avviato di recente da DigitPA si rivolge soprattutto all’esterno (industria,
università, ricerca, amministrazioni) per raccogliere raccomandazioni e consolidare orientamenti.
Ritengo che solo in un secondo momento sarà possibile mettere a punto architetture e interventi
di livello infrastrutturale. Non dimentichiamo inoltre che alcuni Paesi e la stessa Unione europea
hanno avviato da poco strategie cloud di ampio respiro di cui può essere consigliabile esaminare i
primi passi che, in almeno un caso (UK), hanno già comportato dei ripensamenti strategici.
3. Lei considera l’attuale quadro normativo in materia di SPC adatto ad affrontare il fenomeno della
“nuvola”? Oppure pensa che siano opportune delle azioni volte a favorire l’aggiornamento della
normativa, al fine di supportare l’evoluzione dei sistemi informativi della PA verso modelli basati 38
su tecnologie del cloud computing? In tal caso, quali interventi ritiene prioritari?
Risposta
Tenendo presente la risposta alla precedente domanda, mi sembra che il quadro normativo
potrebbe evolvere in modo indipendente da SPC per promuovere la diffusione dei servizi cloud nel
nostro Paese. Pur non essendo un esperto in materia, ritengo non improbabile che
l’implementazione di politiche di sicurezza adeguate potrebbe suggerire innovazioni normative
già a livello europeo. La mia opinione personale è che, tra gli interventi prioritari, migliori regole
di gestione delle identità digitali, condivise a livello europeo, potrebbero concorrere ad innescare
una rapida diffusione del cloud nella pubblica amministrazione e in definitiva un forte sviluppo dei
servizi online.
4. Infine, nell’agenda di lavoro di DigitPA è prevista la redazione di linee guida per la
determinazione delle più idonee soluzioni tecniche da implementare per la diffusione dei modelli
e delle tecnologie del cloud computing nelle PA?
Risposta
Come ho ricordato prima, DigitPA ha recentemente avviato un gruppo di lavoro abbastanza
esteso che raccoglie quasi un centinaio di rappresentanti di industria, ricerca, università e
amministrazioni per promuovere l’adozione dei servizi cloud nella pubblica amministrazione.
L’approccio è relativamente aperto: più che indicare soluzioni tecniche specifiche vogliamo
produrre e condividere un documento di linee-guida che mostri concretamente i vantaggi e gli
ostacoli rappresentati dal cloud nei suoi diversi aspetti: infrastrutture, servizi, contratti, sicurezza
eccetera. In autunno contiamo di sottoporre a revisione pubblica il documento pubblicandolo sul
sito di DigitPA per poi presentarlo entro l’anno.
39
Cloud e sicurezza
Dal punto di vista della sicurezza dei dati che viaggiano verso la nuvola ed in essa risiedono, è
possibile individuare tre tipologie di rischi. Si ha a che fare, infatti, con i rischi connessi all’accesso dei
dati da parte di criminali informatici ma anche da parte dello stesso provider o di suoi eventuali
dipendenti infedeli. Un’idea di come evolva, con il cloud, la situazione di fronte a tale tipo di rischi si
può rapidamente ottenere leggendo una recente affermazione in merito espressa da Jonathan
Zittrain, Professore di Legge all’Harvard Law School e co-fondatore del Berkman Center for Internet &
Society (Harvard University):
«Before, the bad guys usually needed to get their hands on people’s computers to see
their secrets; in today’s cloud all you need is a password»
(Jonathan Zittrain)
Inoltre, non sono da trascurare I rischi connessi alla conservazione dei dati: una PA che sceglie una
soluzione cloud deve, ad esempio, domandarsi in che modo poter garantire che i dati siano sempre 40
recuperabili e che non vengano corrotti, e come assicurarsi in caso di fallimento del cloud provider.
Infine, è necessario tenere in considerazione anche i rischi collegati alla cancellazione dei dati.
Alcune norme prevedono la cancellazione di determinate categorie di dati una volta decorso un certo
periodo di tempo dalla loro raccolta e, in altri casi, il titolare stesso potrebbe avere interesse a
cancellare in modo definitivo, per ragioni diverse, alcune informazioni. Per una PA titolare del
trattamento, nelle suddette situazioni, permane la difficoltà di accertarsi che i dati che deve o vuole
cancellare non siano più effettivamente reperibili.
Asset
Identificazione dell’asset per la distribuzione su cloud
Semplificando le cose, le attività supportate dal Cloud ricadono in due grandi contenitori generali:
1. Dati
2. Applicazioni / Funzioni / Processi
Con il cloud computing i dati e le applicazioni non hanno bisogno di risiedere nella stessa location, e
possiamo perfino spostare solo parti di funzioni nel Cloud. Per esempio, è possibile ospitare le
applicazioni e i dati nel nostro Centro Elaborazione Dati, pur dando in outsourcing una parte delle sue
funzionalità al cloud utilizzando una “Platform as a Service”.
Il primo passo nella valutazione di rischio per il cloud è quello di determinare esattamente quali
dati o funzioni devono essere considerati per il Cloud. Ciò dovrebbe includere una analisi dell’ utilizzo
dell’asset per scopi di contabilizzazione. Spesso dati e volumi di transazioni sono superiori a quanto
ipotizzato in una prima analisi.
Valutazione dell’asset
Il passo successivo è quello di determinare quanto sono importanti per l’organizzazione i dati o le 41
funzioni. Non è necessario eseguire una valutazione dettagliata a meno che l’ organizzazione non
abbia già ha un processo predefinito, ma c’è bisogno almeno di una valutazione approssimativa di
quanto un asset sia sensibile e quanto importante sia una applicazione / funzione / processo.
1. Pubblico.
2. Privato, interno/locale.
3. Privato, esterno (comprese le infrastrutture dedicate o condivise).
4. Comunità; tenendo conto della locazione di hosting, del potenziale provider di servizi, e
dell’identificazione di altri membri della comunità.
5. Ibrido. Per valutare in modo efficace una potenziale distribuzione ibrida, è necessario
avere in mente almeno una architettura approssimativa di dove risiedono le componenti, le
funzioni e i dati.
In questa fase si dovrebbe avere una buona idea del livello di confidenza per la transizione al cloud,
quali modelli di implementazione devono essere utilizzati e le località per soddisfare le esigenze di
sicurezza e minimizzazione del rischio.
Valutazione dei potenziali modelli di servizio e dei provider
In questa fase occorre focalizzarsi sul compito di controllo che si avrà per ciascun livello di SPI per
implementare la gestione del rischio. Se si sta valutando un'offerta specifica, a questo punto si
potrebbe passare ad una valutazione più dettagliata del rischio. L’attenzione deve focalizzarsi
sul grado di controllo necessario per implementare la riduzione del rischio nei diversi livelli SPI. Se si
hanno già requisiti specifici (ad esempio, gestione di dati regolamentati), tali requisiti possono essere
inclusi nella valutazione.
43
I rischi ENISA e la CSA guidance
La European Network and Information Security Agency (ENISA) e la Cloud Security Alliance (CSA)
hanno analizzato rischi e controlli di sicurezza nell’adozione del Cloud Computing, arrivando a
individuare 35 rischi.
44
Figura 6 - Principali rischi: per l'elenco completo si rimanda al documento “Cloud Computing - Benefits, risks and
recommendations for information security” (ENISA, nov. 2009)
I dodici domini che compongono il resto delle aree di attenzione della guida per il Cloud
Computing hanno lo scopo di indirizzare i “punti dolenti” sia per la sicurezza strategica che tattica
all'interno di un ambiente Cloud, e possono essere applicati a qualsiasi combinazione di servizi di
cloud computing e implementazione del modello.
I domini sono suddivisi in due grandi categorie: Governance e Tecnologia . I domini di Governance
sono ampi e indirizzano problemi di tipo strategico e politico in un ambiente di cloud computing,
mentre i domini tecnologici sono più focalizzati su problemi tattici di sicurezza e implementazione
all'interno dell'architettura:
Domini di Governance
Legale Potenziali problemi legali nell’uso del Cloud Computing e requisiti di protezione per le
informazioni e sistemi informatici, violazione delle leggi sulla divulgazione dei
dati, requisiti normativi,requisiti di privacy, leggi internazionali, etc.
Conformità Mantenere e dimostrare la conformità relativa alle policy di sicurezza interna e alla
normativa vigente.
Gestione del ciclo di L'identificazione e il controllo dei dati nel Cloud, come pure controlli di compensazione
vita dei dati che possono essere usati per gestire la perdita di controllo fisico durante lo
spostamento di dati. Altri elementi sono la responsabilità della riservatezza, integrità e
disponibilità dei dati.
Portabilità e La capacita di spostare dati/servizi da un provider ad un altro, oppure di riportarli
Interoperabilità interamente indietro in-house. Argomenti connessi alla interoperabilità tra provider.
Domini tecnologici
45
Traditional Security, Come il Cloud Computing influenza i processi operazionali e le
Business Continuity procedure attualmente in uso per implementare la sicurezza, la continuità di
and business, e il disaster recovery. Esame dei possibili rischi di Cloud Computing allo
Disaster Recovery scopo di minimizzare rischio aziendale con il migliore modello di
gestione. Identificazione dove il Cloud Computing può aiutare a diminuire rischi per la
sicurezza, o può comportare aumenti di rischi in altre aree.
Data Center Valutazione dell'architettura di un provider di data center.
Operations
Incident Response, Rilevazione propria e adeguata di incidenti, risposta, notifica e rimedio.
Notification and Questo implica attivare tutti gli elementi che dovrebbero essere in atto sia a
Remediation livello provider che utenti per permettere la corretta gestione dei problemi e della
comunicazione.
Application Security Prevedere la sicurezza del software applicativo in esecuzione o in fase di sviluppo nel
Cloud.
Encryption and Key Identificazione dell'uso più appropriato di encryption e di una gestione scalabile delle
Management chiavi. Identificazione dei problemi che sorgono per la protezione dell’accesso
alle risorse e per la protezione dei dati.
Identity and Access Gestione delle identità e sfruttamento dei directory services per fornire il
Management controllo degli accessi. Assessment sulla capacità di una organizzazione per condurre
una Identity e Access Management (IAM) basata su Cloud
Virtualizzazione Problemi di sicurezza che circondano l'utilizzo della tecnologia di virtualizzazione nel
Cloud Computing.
L’approccio alla gestione della sicurezza dovrebbe quindi seguire il percorso seguente:
Continuità operativa: riguarda l’insieme dei metodi e degli strumenti finalizzati ad assicurare la
continuità dei servizi istituzionali, anche in presenza di eventi indesiderati,che possono causare
un’interruzione prolungata dei sistemi informatici.
Le soluzioni per garantire la continuità dei servizi si riferiscono a tutte le componenti del “ciclo del
servizio” (tecnologia, risorse umane, ecc..). La continuità operativa considera i mezzi tecnici impiegati
nei procedimenti amministrativi come strumenti per l’erogazione dei servizi ed estende la sua sfera
di interesse alle tematiche più generali di natura organizzativa.
Disaster recovery: insieme di misure tecnologiche atte a ripristinare i sistemi, i dati e le infrastrutture
necessarie all’erogazione di servizi a fronte di gravi emergenze.
In merito a questi due concetti, l’art. 50bis del Codice chiarisce che:
Comma 1. In relazione ai nuovi scenari di rischio, alla crescente complessità dell’attività istituzionale
caratterizzata da un intenso utilizzo della tecnologia dell’informazione, le pubbliche amministrazioni
predispongono i piani di emergenza in grado di assicurare la continuità delle operazioni indispensabili
per il servizio e il ritorno alla normale operatività.
Comma 4. I piani di cui al comma 3 sono adottati da ciascuna amministrazione sulla base di appositi e
dettagliati studi di fattibilità tecnica; su tali studi è obbligatoriamente acquisito il parere di DigitPA.
L’art. 51 al comma 1 annuncia successive regole tecniche per la sicurezza dei dati, dei sistemi e delle
infrastrutture delle pubbliche amministrazioni definendo inoltre i compiti, anche ispettivi, di DigitPA
in tema di sicurezza (comma 1-bis).I tre punti salienti sono riassumibili in:
Il sistema della sicurezza dei dati prevede la partecipazione di diversi soggetti istituzionali, ciascuno
con compiti specifici all’interno del disegno complessivo, sintetizzati nello schema.
48
Il Cloud Computing comporta dei chiari benefici, il primo dei quali a livello economico attuando il
passaggio dalla spesa “a investimento” alla spesa “per operations”. Abbiamo poi visto come il Cloud
permetta una maggiore efficienza in termini di immediatezza e disponibilità oltre che di facilità di
utilizzo. Il tutto avviene grazie alla scalabilità, concetto chiave di tutta la nuvola.
Esattamente come i benefici, i rischi dipendono dal modello di Cloud Computing adottato: come per
ogni area di sicurezza, le organizzazioni dovrebbero adottare un approccio risk-based prima
di passare al cloud valutando attentamente e selezionando le opportune opzioni di sicurezza.
Il Cloud Computing è un ambiente non necessariamente più o meno sicuro di altri ambienti di Data
Center Provider. Come per ogni tecnologia, il Cloud Computing crea nuovi rischi e nuove opportunità.
In alcuni casi il passaggio al Cloud offre l'opportunità di ridefinire l’architettura di vecchie
applicazioni e infrastrutture per soddisfare o superare nuovi requisiti di sicurezza. Altre volte il
rischio di spostare dati sensibili e applicazioni su una nuova infrastruttura può superare i limiti di
tolleranza del cliente. Le Pubbliche Amministrazioni italiane devono necessariamente tenere conto
delle indicazioni date dal Nuovo Codice dell’Amministrazione Digitale, predisponendo i piani di 49
emergenza e scegliendo se la gestione della continuità operativa e del disaster recovery venga
mantenuta in-house oppure affidata ai Conservatori Accreditati.
Per quanto riguarda i modelli di deployment, il Private Cloud è ad oggi il modello più diffuso poiché
prevede che le infrastrutture siano di proprietà di una sola organizzazione e che la condivisione delle
risorse possa avvenire solo all’interno dell’organizzazione stessa, garantendo la sicurezza sul
trattamento dei dati (che viaggiano su una rete chiusa all’esterno, accessibile solo da LAN aziendale).
Come visto dall’esperienza di Boeing Company, stiamo assistendo ad una migrazione dal Private al
modello ibrido che, a tendere, con tutta probabilità diventerà il modello più utilizzato.
Secondo una recente ricerca effettuata a livello mondiale, l’Italia risulta essere leggermente in
vantaggio rispetto al resto del mondo riguardo l’adozione di queste tecnologie. Il 54% delle aziende
italiane sta implementando la virtualizzazione di server contro il 45% delle aziende globali. Per
quanto riguarda le cloud ibrido/private, si registra un 48% delle aziende italiane contro il 35%
globale. In Italia, la virtualizzazione dei server è molto diffusa (84%) e ben il 77% delle aziende sta
considerando l’adozione di cloud ibrido/privato.
Emerge poi come i responsabili IT e gli executive non siano allineati sulle potenzialità
Secondo i risultati della ricerca, il 30% dei CEO (Chief Executive Officer) che sta implementando cloud
ibride/private è meno che “abbastanza aperto” nel trasferire applicazioni business-critical verso
questo tipo di ambienti. Molte preoccupazioni relative all’utilizzo della virtualizzazione e del cloud
ibrido riguardano l’affidabilità (88%), la sicurezza (79%) e le performance (81%). Questi risultati
dimostrano che una migliore comunicazione tra lo staff IT e i soggetti coinvolti nei processi
decisionali permetterebbe a ciascuno di essere sincronizzato rispetto all’analisi di rischi/benefici
offerti dal Cloud Computing.
Lo staff IT infatti potrebbe sfatare o avallare le preoccupazioni del management che, dal canto suo,
con una comprensione reale delle potenzialità, avrà più propensione ad approvare le richieste di
risorse.
E la PA?
Netics ha effettuato una survey specifica, intervistando una ventina di dirigenti e responsabili dei
50
sistemi informativi di enti della PA e di Aziende Sanitarie e Ospedaliere, con l’obiettivo di
rappresentare il “sentiment” rispetto al tema del Cloud.
Prevale nettamente un “elevato interesse”, accompagnato da “preoccupazioni rispetto al quadro
normativo”: in assenza di regole precise, si preferisce “stare alla finestra”. Anche se praticamente
tutti gli intervistati concordano sul fatto che il Cloud rappresenti un formidabile alleato nella
quotidiana ricerca della razionalizzazione e del contenimento dei costi.
Prevalgono le riserve rispetto alla natura del Cloud Service Provider “ideale” per la PA e la Sanità, ma
la maggioranza degli intervistati ipotizza un possibile dualismo (e si ritorna al concetto di “cloud
ibrido”) dove applicazioni e dati “non core” possono tranquillamente essere affidati a provider
pubblici (prevalentemente gli operatori di TLC e gli “Over the Top”), mentre tutte le componenti
“sensibili” dovrebbero convergere su provider rigorosamente di proprietà pubblica.
Il Cloud rappresenta un’ottima soluzione anche (e, forse, “soprattutto”) per gli enti di piccole e
piccolissime dimensioni (i piccoli Comuni, ma anche le Scuole): realtà che oggi scontano costi di
infrastruttura modesti in termini assoluti, ma sicuramente sproporzionati al contesto specifico.
Le ICT “in-house”, soprattutto quelle che fungono da “Centro Tecnico SPC”, possono giocare un ruolo
determinante in questa “rivoluzione potenziale”: soprattutto se saranno capaci di adottare un
approccio orientato alla realizzazione di cataloghi di servizi “on the cloud” aperti al partenariato
pubblico-privato.
La tecnologia è già ampiamente disponibile; è ragionevole pensare che nel giro di pochi mesi anche il
problema normativo venga risolto. La sfida si gioca tutta quanta sulla capacità del mercato di
costruire modelli di business robusti e sostenibili, ma anche sulla capacità di tutti i soggetti coinvolti
(a partire dalla domanda) di ragionare e agire in termini di “sistema”.
51
Bibliografia
CSA, 2009, Security Guidance for Critical Areas of Focus in Cloud Computing V2.1
ENISA, 2009, Cloud Computing: Benefits, risks and recommendations for information security
DECRETO LEGISLATIVO 30 giugno 2003, n. 196: Codice in materia di protezione dei dati
personali
52
Disclaimer
© Netics 2011
53
Netics srl
Amministrazione e sede operativa
Via Onorato Vigliani, 123
10127 Torino
Telefono 011 3828344
Telefax 011 3801803
info@netics.it
http://www.netics.it