Valutare la sicurezza dei fornitori cloud? Ecco alcuni acronimi che è bene conoscere

June 28, 2016 Mark Goldin

La sicurezza è chiaramente una preoccupazione primaria per qualunque impresa che voglia migrare i suoi dati e processi nel cloud, specialmente quando si tratta di talent management e di protezione dei dati personali sensibili dei dipendenti. Meno chiaro è cosa andare a guardare quando si devono valutare dei fornitori e valutare le loro politiche di sicurezza.  La faccenda si complica quando si incappa nella moltitudine di acronimi utilizzati per indicare standard e certificazioni di sicurezza. 

;

Ecco di seguito una rapida panoramica sulle certificazioni che i fornitori di servizi cloud dovrebbero possedere (o essere impegnati a conseguire), il loro significato e la relativa importanza.

;

ISO/IEC 27001:2013

;

Pubblicato da ISO, un’organizzazione internazionale indipendente, ISO/IEC 27001:2013 è uno standard che “specifica i requisiti per la costruzione, l’implementazione, la manutenzione e il miglioramento continuo di un sistema per la gestione della sicurezza delle informazioni all’interno di un’organizzazione”.

;

In breve, esso definisce una serie di regole e controlli mirati a definire il modo in cui un’azienda gestisce la sicurezza delle informazioni. ISO/IEC 27001:2013, nato come standard per le aziende europee, è oggi adottato globalmente, Molte aziende oggi richiedono ai fornitori cloud di essere certificati ISO - e di rinnovare la certificazione per tutto il periodo di durata del contratto.

;

Ricordate che “certificato ISO” e “Conforme ISO” sono due cose diverse. La certificazione indica che un’azienda risponde o a tutti i requisiti ISO/IEC 27001:2013 o a un particolare sottoinsieme di controlli e che lo status di questi controlli è stato verificato da un revisore indipendente. La certificazione è un processo continuo: i verificatori controllano i requisiti annualmente e osservano i miglioramenti. Non dimenticate di chiedere ai fornitori di servizi cloud un SOA (Statement of Applicability), un documento che indica quali controlli erano in atto quando il fornitore è stato sottoposto a revisione.

;

“Conforme ISO” indica invece che un fornitore dichiara di seguire i requisiti dello standard ISO, pur senza essere stato mai ufficialmente certificato. Si tratta di una pratica accettabile, ma le aziende dovrebbero comunque dedicare del tempo a studiare le misure di sicurezza del fornitore, in particolare se quest’ultimo gestirà dati sensibili.

;

ISO/IEC 27018:2014

;

Molti fornitori cloud sono impegnati ad aggiungere il codice deontologico ISO/IEC 27018:2014 alla certificazione ISO/IEC 27001:2013. Uno standard più recente, ISO/IEC 27018:2014, “stabilisce obiettivi di controllo, controlli e linee guida comunemente accettate per l’implementazione di misure tese a proteggere le Personal Identifiable Information (PII) in accordo con i principi di privacy ISO/IEC 29100 per gli ambienti di cloud computing pubblico”.

;

Analogamente a ISO/IEC 27001:2013, anche ISO/IEC 27018:2014 diventerà probabilmente un requisito indicato specificatamente in molti contratti con i fornitori di servizi cloud.

;

SSAE 16 SOC 1 and SOC 2

;

Lo Statement on Standards for Attestation Engagements  No. 16 (SSAE 16), conosciuto anche come SOC 1 (Service Organization Control) è stato finalizzato nel 2010 dall’Auditing Standards Board dell’American Institute of Certified Public Accountants (AICPA).  SSAE 16 descrive i controlli definiti per i service provider e ha l’obiettivo di aiutare le aziende a meglio comprendere i processi e le procedure attuate che contribuiscono a costruire fiducia nei processi di erogazione dei servizi dei fornitori cloud.

;

SOC 2, basato sui Trust Services Principles and Criteria di AICPA, dettaglia tra gli altri controlli molto specifici per la sicurezza e la privacy ed è un ulteriore standard di conformità che sempre più aziende introducono nei contratti di servizio con i fornitori cloud.

;

Per dimostrare di essere conformi a SSAE 16 e AICPA Trust Services Principles and Criteria, le aziende devono presentare report SOC 1 e/o SOC 2. Il fornitore cloud deve specificatamente presentare un report “SOC 1, Type II” e/o “SOC 2, Type II”, che conferma che i controlli siano stati testati. (Type I è semplicemente una descrizione di come un’azienda opera i controlli). E’ opportuno dedicare particolare attenzione a chi ha fatto l’audit del report: nelle grandi aziende, questo tipo di revisione è generalmente più completo. E’ importante leggere attentamente il report per cercare qualunque controllo non andato a buon fine o eccezioni che non sono state notate dal revisore.

;

ISAE 3402 Type II

;

Si tratta della versione europea di SSAE 16 SOC 1, Type II. Normalmente, non è necessario che i fornitori cloud posseggano questa certificazione, ma averla è un elemento positivo.

;

FedRAMP

;

Il Federal Risk and Authorization Management Program (FedRAMP), “è un programma governativo statunitense basato sulla Special Publication 800-53 Revision 4 del National Institute of Standards and Technology (NIST) che descrive un approccio standardizzato alla valutazione della sicurezza, alle autorizzazioni e al monitoraggio continuo per i prodotti e servizi cloud”.

;

Il processo di certificazione FedRAMP è complicato e possono passare anni prima che il fornitore riceva il permesso di operare (“Authority to Operate", ATO). Pertanto, se un fornitore di servizi cloud è certificato FedRAMP significa che i sui processi e controlli di sicurezza soddisfano requisiti molto rigorosi.

;

Una lista dei fornitori certificati FedRAMP è disponibile sul sito del programma.

;

CSA CCM

;

Il Cloud Security Alliance Cloud Controls Matrix (CSA CCM) è uno standard emergente “studiato specificatamente per fornire i principi fondamentali di sicurezza per i fornitori cloud e assistere i potenziali clienti a valutare i rischi globali per la sicurezza di un fornitore cloud”. La matrice (può essere scaricata qui) è un quadro di controllo elaborato da CSA. I controlli sono mappati ad altri standard di sicurezza riconosciuti, come quelli precedentemente descritti.

;

I fornitori di servizi cloud non sono obbligati a utilizzare questo quadro di riferimento.  Ma se lo fanno, o stanno lavorando per adottarlo, ciò suggerisce un forte impegno per la sicurezza. E’ possibile chiedere al fornitore se ha completato il CSA Consensus Assessments Initiative Questionnaire (CAIQ) o verificare sul CSA STAR Registry se è stato presentato.

;

PCI

;

Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di requisiti compilato per garantire che le aziende che elaborano, memorizzano o trasmettono informazioni sulle carte di credito abbiano un ambiente sicuro. Per essere certificati, i fornitori cloud che trattano questo genere di dati devono implementare e mantenere lo standard. Maggiori informazioni sullo standard sono disponibili sul sito https://www.pcisecuritystandards.org.

;

I requisiti di sicurezza che un fornitore cloud deve soddisfare per proteggere i dati dei clienti dipendono dal tipo di informazioni che gli saranno affidate. Più sensibili sono i dati, più importante è l’adesione agli standard di settore. In ogni caso, tutti i fornitori di servizi cloud devono essere in grado di dimostrare ai propri clienti cosa fanno per garantire la sicurezza. 

Informazioni sull'autore

Mark Goldin

Als Chief Technology Officer für Cornerstone OnDemand verantwortet Mark Goldin Planung und Umsetzung der Technologiestrategie des Unternehmens. Dadurch kann die Organisation ihre Aktivitäten wirksam und effizient anpassen – auch in Hochwachstumsphasen. Goldin verantwortet die Bereiche application architecture, Entwicklung, Qualitätsmanagement und technischer Betrieb. Dabei leitet er zugleich ein herausragendes Team an Ingenieuren, das sich damit beschäftigt, Cornerstones Track-Record in der Entwicklung innovativer und vielseitiger Talent-Management-Software weiterhin zu gewährleisten. Er arbeitet seit über 15 Jahren als Chief Technology Officer und hilft schnell wachsenden Unternehmen dabei, mit Hilfe von technologiegetriebenen Strategien zum Marktführer zu werden. Vor seinem Eintritt bei Cornerstone war Golding Chief Operations and Technology Officer bei Green Dot Corporation, wo er sich um die Anwendungsentwicklung, IT-Infrastruktur, Supply Chain und Logistik sowie den Call-Center-Betrieb kümmerte. Zuvor war er Senior Vice President und CTO bei Thomson Elite und entwickelte dort als einer der ersten den Software-as-a-Service (SaaS) Pionier Elite.com. Er war zudem als CTO bei DestinationRx und Managing Director bei Trace Alexander Ltd.

Segui su LinkedIn Altri contenuti di
Articolo precedente
Lavoro flessibile: a che punto siamo in Italia
Lavoro flessibile: a che punto siamo in Italia

Lo studio Future People: Le postazioni di lavoro nell’era della trasformazione digitale, IDC 2016, promosso...

Articolo successivo
CEO, CFO: IL TALENT MANAGEMENT E’ COSA VOSTRA
CEO, CFO: IL TALENT MANAGEMENT E’ COSA VOSTRA

Attirare, trattenere e sviluppare le persone e misurarne l’impatto sull’organizzazione sta diventando, dal ...