Le certificazioni cloud sono un indice di qualità e sicurezza. Ma solo audit regolari forniscono informazioni affidabili su tutti gli aspetti rilevanti
Che cosa deve offrire un provider cloud affidabile
Le certificazioni cloud sono un indice di qualità e sicurezza. Ma solo audit regolari forniscono informazioni affidabili su tutti gli aspetti rilevanti.
Di Andrea Cariglia, Senior Solution Consultant di Swisscom
La sicurezza e l’affidabilità dei provider e dei servizi cloud sono fondamentali. In un’impresa i dati anagrafici e le operazioni dei clienti devono essere trattati in modo confidenziale e non devono finire nelle mani sbagliate. I calcoli dei prezzi e gli accordi con i fornitori devono riguardare solo le parti coinvolte. Lo stesso vale per i dossier personali e i dati relativi ai salari. Non può succedere che i sistemi informatici non funzionino per giornate intere o che i dati vadano persi.
Tutto questo vale per i sistemi ospitati nel centro di calcolo aziendale interno. Tuttavia, anche chi affida l'IT completamente o in parte al cloud ha bisogno della garanzia che il provider abbia adottato tutte le misure necessarie riguardo la sicurezza informatica, la protezione dei dati e la disponibilità dei sistemi.
Certificazione dei centri di calcolo e dei servizi cloud
I certificati forniscono una prova dell’affidabilità dei provider, dei loro centri di calcolo e dei singoli servizi cloud. Ad esempio:
- «Star Audit ECSA» e «Star Audit Swiss» con caratteristiche aggiuntive specifiche per la Svizzera di eurocloud.org.
- Il certificato «Trusted Cloud» di TÜV Rheinland conferma che è stata superata una serie di test su tutti gli aspetti rilevanti.
- Il certificato Tier IV dell’Uptime Institute, considerato il massimo riconoscimento di qualità al mondo, garantisce la disponibilità, l’efficienza e la sicurezza dei centri di calcolo. Il data center di Swisscom a Wankdorf è stato il primo in Svizzera a ricevere questo certificato nel 2014.
Queste certificazioni considerano norme e disposizioni per la progettazione e il funzionamento dei centri di calcolo, integrate da caratteristiche e controlli di affidabilità e funzionalità specifici per il cloud.
Tuttavia, i certificati si riferiscono sempre e solo a un momento specifico, non forniscono una sorveglianza continua dei sistemi e dei servizi e non tengono conto dei singoli clienti, dei servizi forniti e delle esigenze individuali.
Trasparenza e visibilità
Quello che aiuterebbe davvero i clienti cloud, sarebbero degli audit regolari. L’obiettivo è dare al cliente trasparenza e visibilità su tutte le caratteristiche di sistema. Il provider che può fornirle offre alla clientela un duplice vantaggio: con la certificazione e i report può soddisfare i propri obblighi di diligenza e il cliente si convince dell’adeguata realizzazione dei servizi e delle misure di sicurezza.
Come provider di servizi cloud, Swisscom poggia su sei pilastri:
- Il sistema di gestione certificato ISO 9001 rappresenta una certificazione della qualità riconosciuta a livello mondiale.
- Swisscom attribuisce una notevole importanza a un sistema di service management sostenibile, orientato alle esigenze dei clienti e conforme alle linee guida ITIL. Ne è la riprova la certificazione ISO 20000:2011 del suo sistema di IT Service Management.
- La sicurezza delle informazioni e dei dati è estremamente importante per i nostri clienti e per Swisscom. Tutta l’azienda è certificata ISO 27001: questa norma garantisce la presenza e il mantenimento di un Information Security Management System documentato. Ciò significa, tra le altre cose, che Swisscom tratta i dati dei clienti e dei collaboratori con la massima riservatezza e in conformità alla legge.
- Un report esterno sulle infrastrutture secondo SOC2/ISAE3402: un sistema di controllo verifica che mira al soddisfacimento di specifici criteri di sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy.
- Il Business Continuity Report, prodotto da un audit esterno: dimostra l’attuazione di misure di Disaster Recovery per le applicazioni particolarmente critiche per l’attività.
- Il Security Reporting informa sulla sicurezza dei Managed Services, concentrandosi in particolare sul patch management, sulle misure anti-malware e sull’hardening dei sistemi.
