Valutare la sicurezza dei fornitori cloud? Ecco alcuni acronimi che è bene conoscere

June 28, 2016 Mark Goldin

La sicurezza è chiaramente una preoccupazione primaria per qualunque impresa che voglia migrare i suoi dati e processi nel cloud, specialmente quando si tratta di talent management e di protezione dei dati personali sensibili dei dipendenti. Meno chiaro è cosa andare a guardare quando si devono valutare dei fornitori e valutare le loro politiche di sicurezza.  La faccenda si complica quando si incappa nella moltitudine di acronimi utilizzati per indicare standard e certificazioni di sicurezza. 

Ecco di seguito una rapida panoramica sulle certificazioni che i fornitori di servizi cloud dovrebbero possedere (o essere impegnati a conseguire), il loro significato e la relativa importanza.

ISO/IEC 27001:2013

Pubblicato da ISO, un’organizzazione internazionale indipendente, ISO/IEC 27001:2013 è uno standard che “specifica i requisiti per la costruzione, l’implementazione, la manutenzione e il miglioramento continuo di un sistema per la gestione della sicurezza delle informazioni all’interno di un’organizzazione”.

In breve, esso definisce una serie di regole e controlli mirati a definire il modo in cui un’azienda gestisce la sicurezza delle informazioni. ISO/IEC 27001:2013, nato come standard per le aziende europee, è oggi adottato globalmente, Molte aziende oggi richiedono ai fornitori cloud di essere certificati ISO - e di rinnovare la certificazione per tutto il periodo di durata del contratto.

Ricordate che “certificato ISO” e “Conforme ISO” sono due cose diverse. La certificazione indica che un’azienda risponde o a tutti i requisiti ISO/IEC 27001:2013 o a un particolare sottoinsieme di controlli e che lo status di questi controlli è stato verificato da un revisore indipendente. La certificazione è un processo continuo: i verificatori controllano i requisiti annualmente e osservano i miglioramenti. Non dimenticate di chiedere ai fornitori di servizi cloud un SOA (Statement of Applicability), un documento che indica quali controlli erano in atto quando il fornitore è stato sottoposto a revisione.

“Conforme ISO” indica invece che un fornitore dichiara di seguire i requisiti dello standard ISO, pur senza essere stato mai ufficialmente certificato. Si tratta di una pratica accettabile, ma le aziende dovrebbero comunque dedicare del tempo a studiare le misure di sicurezza del fornitore, in particolare se quest’ultimo gestirà dati sensibili.

ISO/IEC 27018:2014

Molti fornitori cloud sono impegnati ad aggiungere il codice deontologico ISO/IEC 27018:2014 alla certificazione ISO/IEC 27001:2013. Uno standard più recente, ISO/IEC 27018:2014, “stabilisce obiettivi di controllo, controlli e linee guida comunemente accettate per l’implementazione di misure tese a proteggere le Personal Identifiable Information (PII) in accordo con i principi di privacy ISO/IEC 29100 per gli ambienti di cloud computing pubblico”.

Analogamente a ISO/IEC 27001:2013, anche ISO/IEC 27018:2014 diventerà probabilmente un requisito indicato specificatamente in molti contratti con i fornitori di servizi cloud.

SSAE 16 SOC 1 and SOC 2

Lo Statement on Standards for Attestation Engagements  No. 16 (SSAE 16), conosciuto anche come SOC 1 (Service Organization Control) è stato finalizzato nel 2010 dall’Auditing Standards Board dell’American Institute of Certified Public Accountants (AICPA).  SSAE 16 descrive i controlli definiti per i service provider e ha l’obiettivo di aiutare le aziende a meglio comprendere i processi e le procedure attuate che contribuiscono a costruire fiducia nei processi di erogazione dei servizi dei fornitori cloud.

SOC 2, basato sui Trust Services Principles and Criteria di AICPA, dettaglia tra gli altri controlli molto specifici per la sicurezza e la privacy ed è un ulteriore standard di conformità che sempre più aziende introducono nei contratti di servizio con i fornitori cloud.

 

Per dimostrare di essere conformi a SSAE 16 e AICPA Trust Services Principles and Criteria, le aziende devono presentare report SOC 1 e/o SOC 2. Il fornitore cloud deve specificatamente presentare un report “SOC 1, Type II” e/o “SOC 2, Type II”, che conferma che i controlli siano stati testati. (Type I è semplicemente una descrizione di come un’azienda opera i controlli). E’ opportuno dedicare particolare attenzione a chi ha fatto l’audit del report: nelle grandi aziende, questo tipo di revisione è generalmente più completo. E’ importante leggere attentamente il report per cercare qualunque controllo non andato a buon fine o eccezioni che non sono state notate dal revisore.

ISAE 3402 Type II

Si tratta della versione europea di SSAE 16 SOC 1, Type II. Normalmente, non è necessario che i fornitori cloud posseggano questa certificazione, ma averla è un elemento positivo.

FedRAMP

Il Federal Risk and Authorization Management Program (FedRAMP), “è un programma governativo statunitense basato sulla Special Publication 800-53 Revision 4 del National Institute of Standards and Technology (NIST) che descrive un approccio standardizzato alla valutazione della sicurezza, alle autorizzazioni e al monitoraggio continuo per i prodotti e servizi cloud”.

Il processo di certificazione FedRAMP è complicato e possono passare anni prima che il fornitore riceva il permesso di operare (“Authority to Operate", ATO). Pertanto, se un fornitore di servizi cloud è certificato FedRAMP significa che i sui processi e controlli di sicurezza soddisfano requisiti molto rigorosi.

Una lista dei fornitori certificati FedRAMP è disponibile sul sito del programma.

CSA CCM

Il Cloud Security Alliance Cloud Controls Matrix (CSA CCM) è uno standard emergente “studiato specificatamente per fornire i principi fondamentali di sicurezza per i fornitori cloud e assistere i potenziali clienti a valutare i rischi globali per la sicurezza di un fornitore cloud”. La matrice (può essere scaricata qui) è un quadro di controllo elaborato da CSA. I controlli sono mappati ad altri standard di sicurezza riconosciuti, come quelli precedentemente descritti.

I fornitori di servizi cloud non sono obbligati a utilizzare questo quadro di riferimento.  Ma se lo fanno, o stanno lavorando per adottarlo, ciò suggerisce un forte impegno per la sicurezza. E’ possibile chiedere al fornitore se ha completato il CSA Consensus Assessments Initiative Questionnaire (CAIQ) o verificare sul CSA STAR Registry se è stato presentato.

PCI

Il Payment Card Industry Data Security Standard (PCI DSS) è un insieme di requisiti compilato per garantire che le aziende che elaborano, memorizzano o trasmettono informazioni sulle carte di credito abbiano un ambiente sicuro. Per essere certificati, i fornitori cloud che trattano questo genere di dati devono implementare e mantenere lo standard. Maggiori informazioni sullo standard sono disponibili sul sito https://www.pcisecuritystandards.org.

I requisiti di sicurezza che un fornitore cloud deve soddisfare per proteggere i dati dei clienti dipendono dal tipo di informazioni che gli saranno affidate. Più sensibili sono i dati, più importante è l’adesione agli standard di settore. In ogni caso, tutti i fornitori di servizi cloud devono essere in grado di dimostrare ai propri clienti cosa fanno per garantire la sicurezza. 

Informazioni sull'autore

Mark Goldin

As Chief Technology Officer for Cornerstone OnDemand, Mark Goldin is responsible for building and directing the company's technology strategy, which will allow the organisation to scale effectively and efficiently in the midst of rapid growth. In this role, Goldin oversees application architecture, development, quality assurance and technology operations while leading a world-class team of engineers to assure Cornerstone's continued excellence in providing innovative and feature-rich talent management software Goldin joins the Cornerstone team with more than 15 years of experience as a Chief Technology Officer leading high growth companies to market leadership positions through technology-driven strategies. Prior to joining Cornerstone, Goldin was the Chief Operations and Technology Officer at Green Dot Corporation where he oversaw application development, IT infrastructure, supply chain and logistics, and call center operations with a team that helped grow valuation by greater than a factor of 10 in just three years. Prior to this, Goldin served as Senior Vice President and CTO at Thomson Elite where he conceived, founded and ran Software-as-a-Service (SaaS) pioneer Elite.com and helped lead the company to market dominance. Goldin also held positions as CTO at DestinationRx and Managing Director at Trace Alexander Ltd.

Segui su LinkedIn Altri contenuti di
Articolo precedente
Lavoro flessibile: a che punto siamo in Italia

Articolo successivo
CEO, CFO: IL TALENT MANAGEMENT E’ COSA VOSTRA