Enti locali e cloud, guida alla scelta della nuvola

DPO in pillole/ Data protection e cybersecurity: il percorso finalizzato alla creazione di una moderna Pubblica Amministrazione, più orientata verso i cittadini e le imprese, mette al centro proprio la migrazione dei servizi pubblici sulla “nuvola”

12 Settembre 2023
Modifica zoom
100%
di LUISA DI GIACOMO*

Avere la testa tra le nuvole non è quasi mai sinonimo di affidabilità, specie se si tratta di affidabilità lavorativa, ma c’è un ambito in cui il cloud, la nuvola appunto, potrebbe invece risolvere molti problemi alle pubbliche amministrazioni ed anche agli Enti locali di dimensioni più ridotte. Si tratta del cloud informatico, naturalmente, o cloud computing, ossia di quel servizio offerto da un insieme di server che possono anche essere sparsi nel mondo su cui i dati vengono archiviati e salvati, per averli poi a disposizione in qualunque momento e da qualunque tipo di macchina ci si colleghi.
Una rivoluzione copernicana, se si pensa che in alcuni Enti è ancora complesso far passare il concetto di “divieto di salvataggio in locale” e di utilizzo esclusivo del server del Comune stesso.
Per anni al cloud si è guardato con un misto di preoccupazione e diffidenza: non avere i dati “in casa” dà la sensazione di perdere il controllo sugli stessi, di non proteggerli adeguatamente e sostanzialmente di permettere a chiunque di utilizzarli.
Soprattutto per le PA, poi, il passaggio al cloud pare essere lungo e difficoltoso, ma ancora una volta il processo di digitalizzazione ci presenta il conto e, complici i fondi del PNRR, pare che stavolta ci sia una spinta decisa verso questa soluzione.
Il percorso finalizzato alla creazione di una moderna Pubblica Amministrazione, più orientata verso i cittadini e le imprese, mette al centro proprio la migrazione dei servizi pubblici sulla nuvola. All’interno della misura 1.2 del PNRR, il principio del “cloud first” per la Pubblica Amministrazione, già introdotto dal Piano Triennale, diventa un obiettivo chiave e un’opportunità con un investimento previsto di un miliardo di euro. Questo finanziamento sosterrà la migrazione verso ambienti cloud qualificati per quasi 16.500 Enti locali, sanitari e scolastici.

Attenzione però: si fa presto a dire cloud. Come sempre accade quando si tratta di servizi informatici, non è vero che un fornitore vale l’altro e non è vero che la scelta possa essere effettuata sulla base di criteri casuali o, peggio, secondo il noto principio dell’offerta economicamente più vantaggiosa. Nel contesto della migrazione dei dati in cloud, la sicurezza rappresenta uno degli aspetti più critici della trasformazione digitale, perché nemmeno il cloud è, ovviamente, immune da minacce e vulnerabilità o possibilità di attacchi (il rischio zero non esiste) e dunque più che mai la scelta di un fornitore affidabile diventa di primaria importanza.

Fortunatamente esistono linee guida. Non solo quelle dell’Agenzia per l’Italia Digitale (AgID) e dell’Agenzia per la Cybersicurezza Nazionale (ACN), che sin dal 2018 ha introdotto i “Criteri per la qualificazione dei Cloud Service Provider per la PA” e i “Criteri per la qualificazione di servizi SaaS per il Cloud della PA”, ma anche quelli dell’onnipresente e onnipervadente accountability sancita dal GDPR, che impone agli enti di adottare un approccio basato sul rischio. Tenendo dunque sempre presente questo come faro che guida le scelte anche in ambito cloud, la nuova cosiddetta Strategia Cloud Italia si presenta più comprensibile, anche se di non facile attuazione. Essa prevede, tra le altre cose, un nuovo processo di qualificazione per i fornitori di servizi cloud pubblico e servizi Software as a Service (SaaS), entrato in vigore a partire dal primo agosto 2023. Si tratta di un processo basato su criteri di verifica aggiornati, mirati a garantire che le caratteristiche e i livelli di servizio dichiarati siano in conformità con i requisiti necessari di sicurezza, affidabilità e rispetto delle normative.

Ma quindi, come agire in pratica? Aspettare che vengano delineate linee guida precise e dettagliate, o applicare, in ossequio alla linea già tracciata con l’accountability del Titolare, le misure tecniche e organizzative adeguate anche nella scelta del cloud? La risposta a questa domanda non è univoca (tanto per cambiare) e dipende dall’approccio al concetto di sicurezza del singolo ente: consideriamo il cloud computing e la migrazione una semplice conformità normativa da soddisfare (dobbiamo “adeguarci, metterci in regola”), oppure la vediamo come una necessità fondamentale ed un’opportunità che non possiamo perderci, dal momento che coinvolge non solo l’evoluzione tecnologica e digitale della pubblica amministrazione, ma anche la sua maggiore efficienza e un mutamento radicale di mentalità e politiche?
Per chi segue questa rubrica ormai da tempo, direi che si tratta di una domanda del tutto retorica e dunque ecco qualche consiglio pratico per scegliere il cloud e per avviare una migrazione corretta ed efficace.

Cloud e sicurezza

Nell’adottare un’archiviazione su base cloud, l’ente locale sceglie il modello Saas, ossia software as a service. Si tratta non tanto di un software, quindi, ma di un servizio. La scelta del fornitore di questo servizio diventa pertanto fondamentale, perché ad esso verranno delegati i costi, le responsabilità, le misure di sicurezza, gli aggiornamenti, la sicurezza legati a gestione e manutenzione del cloud stesso.
Ma non esistono misure minime di sicurezza (anche se le linee guida dell’ACN definiscono i requisiti standard per le aziende private che vogliono collaborare con la PA), esiste solo la mentalità che il comune adotta ed applica per la gestione della propria organizzazione. La sicurezza dei sistemi è il risultato di una strategia più ampia, basata, tra l’altro, sulla nomina di un DPO preparato ed adeguatamente coinvolto nella scelta, sulla realizzazione di una valutazione di impatto (DPIA) del servizio prescelto, sull’adozione di tutte le misure per assicurare la cyber sicurezza e la cyber resilienza, quali processi e procedure di data breach e disaster recovery. Vediamo alcuni punti chiave.

  • Protezione dagli attacchi informatici: la sicurezza informatica è cruciale, e non esiste una soluzione unica per garantirla. È necessario un approccio basato sulla conoscenza, l’uso di strumenti adeguati, competenze specializzate e monitoraggio costante per rilevare e rispondere agli attacchi.
  • Vantaggi del PaaS: un SaaS basato su servizi Platform as a Service (PaaS) offre vantaggi in termini di sicurezza. La mancanza di macchine fisiche esposte agli attacchi e l’accesso senza interruzioni alle ultime versioni dei software di sistema aggiornati dal Cloud Service Provider (CSP) contribuiscono a una maggiore sicurezza.
  • Verifica delle vulnerabilità: è essenziale condurre regolarmente verifiche delle vulnerabilità per identificare e affrontare potenziali punti deboli nei sistemi. L’adozione dell’autenticazione multi-fattore aumenta ulteriormente la sicurezza.
  • Conformità al GDPR: la sicurezza di un SaaS deve garantire il rispetto del Regolamento Generale sulla Protezione dei Dati (GDPR) per proteggere i dati personali. Questo è fondamentale sia nell’uso del software che nello sviluppo del software stesso.
  • Protezione dei dati e continuità del servizio: i Comuni gestiscono una grande quantità di dati, e la loro protezione è di primaria importanza. Questo include sicurezza del database, accessibilità tramite API di integrazione, privacy e protezione dai rischi di perdita dei dati. Inoltre, è cruciale garantire la continuità del servizio anche in caso di incidenti o disastri.
  • Controllo degli accessi e operazioni: il controllo rigoroso degli accessi e delle operazioni svolte sul sistema è fondamentale per prevenire violazioni della sicurezza e garantire la conformità normativa.
  • Backup nativi e disaster recovery: l’implementazione di sistemi di backup nativi e funzioni di disaster recovery è essenziale per garantire la disponibilità continua dei dati e dei servizi, anche in situazioni di emergenza.
  • Continuità operativa e scalabilità: il cloud offre vantaggi in termini di continuità operativa e scalabilità. La disponibilità del servizio deve essere garantita attraverso Service Level Agreement (SLA), e la capacità di storage può essere aumentata senza la necessità di installare nuovo hardware.

>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.

Cybersecurity - Luisa Di GiacomoL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.

 

Scrivi un commento

Accedi per poter inserire un commento