Cloud computing, come garantire compliance e regolamentazione

Con il 98% delle organizzazioni a livello globale che utilizzano servizi cloud – come riportato nel recente report “State of Financial Services in Cloud” dalla Cloud Security Alliance – diventa cruciale comprendere le complessità della compliance e delle regolamentazioni per gestire efficacemente la sicurezza dei dati, la privacy e l’integrità operativa.  

Inoltre, gli esperti prevedono che, nel 2025, il panorama del cloud sarà ancor più diversificato e complesso, influenzato dall’evoluzione di tecnologie avanzate come l’intelligenza artificiale, dalla crescente varietà di opzioni multi-cloud, e da un’attenzione maggiore alla sicurezza.

Pertanto, le organizzazioni dovranno garantire che le loro piattaforme cloud non solo siano efficienti, ma anche conformi alle regolamentazioni.

La compliance nel cloud, perché è importante

La compliance nel cloud riguarda l’adesione alle best practice del settore, come MITRE ATT&CK, CIS, NIST e ISO, e alle normative come GDPR, IA ACT, NIS2 e DORA. Essa implica l’implementazione di robuste misure di sicurezza, audit regolari, il monitoraggio continuo per prevenire violazioni, garantire l’allineamento normativo, proteggere i dati sensibili e mantenere la fiducia di clienti e partner.

La compliance nel cloud richiede l’adozione di misure di sicurezza solide, audit regolari e monitoraggio costante per prevenire violazioni e garantire l’aderenza continua alle normative. Inoltre, le organizzazioni devono aggiornarsi costantemente sulle ultime normative e quadri regolatori per mantenere la compliance. Di seguito i motivi principali per cui la compliance al cloud è essenziale.

• Protezione dei dati e privacy.  Misure efficaci di compliance al cloud sono essenziali per proteggere i dati sensibili da accessi non autorizzati e violazioni. Aderendo agli standard di compliance, le organizzazioni garantiscono che le informazioni personali e sensibili siano gestite in modo sicuro, riducendo il rischio di fughe di dati e le relative ripercussioni legali e reputazionali. 

• Continuità aziendale e gestione del rischio. La compliance al cloud svolge un ruolo chiave nella gestione del rischio e nella pianificazione della continuità aziendale. Aiuta a identificare e mitigare i rischi associati all’utilizzo del cloud, garantendo che le operazioni aziendali non vengano interrotte da errori di compliance o violazioni della sicurezza dei dati. 

• Fiducia e fedeltà delle organizzazioni. Le aziende richiedono sempre più trasparenza e sicurezza per quanto riguarda i loro dati. L’adesione ai requisiti di compliance del cloud rassicura i clienti che le loro informazioni vengono gestite in modo responsabile, promuovendo la fiducia e la lealtà. 

• Vantaggio competitivo. La compliance, in un mercato in cui molte aziende sfruttano i servizi cloud, può essere un fattore di differenziazione. Le organizzazioni che dimostrano solide pratiche di compliance possono ottenere un vantaggio competitivo, attirando clienti e partner che apprezzano la sicurezza dei dati e le pratiche etiche. 

Superare le sfide di compliance nel cloud

L’adozione del cloud computing presenta sfide di compliance peculiari, dovute alla complessità intrinseca degli ambienti cloud. Di seguito le principali sfide che le organizzazioni possono incontrare nel garantire la compliance nel cloud:

• Certificazioni e attestazioni. Sia le organizzazioni sia i Cloud Service Provider (CSP) per soddisfare i requisiti degli standard e delle normative applicabili, devono dimostrare la compliance in termini di piattaforma cloud. Ovvero, assicurarsi che la piattaforma cloud disponga delle certificazioni e degli attestati necessari. Oltre a ottenere queste certificazioni, il monitoraggio continuo è essenziale: le leggi sulla protezione dei dati si evolvono, entrano in vigore nuove normative e gli stati di compliance dei fornitori di cloud possono cambiare. 

• Residenza dei dati. La maggior parte delle leggi sulla protezione dei dati impone l’hosting dei dati personali all’interno dei territori consentiti. Ciò richiede un’attenta selezione delle regioni cloud per conformarsi a queste leggi. La sfida si intensifica per le organizzazioni soggette a più normative, che potenzialmente richiedono una strategia multi-cloud per coprire adeguatamente tutti i dati regolamentati. 

• Complessità del cloud. La visibilità e il controllo dei dati sono cruciali per la loro protezione, ma gli ambienti cloud dinamici e complessi rendono questo compito impegnativo. La presenza di numerose componenti in movimento complica il monitoraggio degli asset di dati e la valutazione dei rischi. Le organizzazioni devono quindi adottare pratiche di gestione dei dati efficaci e utilizzare strumenti specifici per il cloud per mantenere la visibilità e il controllo. 

• Approccio diverso alla sicurezza. Gli strumenti di sicurezza tradizionali spesso non si adattano al cloud, dove gli indirizzi IP variano frequentemente e le risorse vengono costantemente avviate e terminate. I requisiti di compliance richiedono misure tecniche e organizzative adeguate alla protezione dei dati, necessitando di soluzioni di sicurezza personalizzate per l’infrastruttura cloud.  

• Modello di responsabilità condivisa. Nel cloud, la sicurezza e la compliance sono responsabilità condivise tra il fornitore di servizi e il cliente. I fornitori definiscono modelli di responsabilità condivisa per chiarire i compiti: si occupano della sicurezza dei data center fisici, dell’hardware e degli hypervisor. I clienti, invece, sono responsabili della gestione dei sistemi operativi, delle applicazioni e delle configurazioni di rete. Anche le responsabilità di compliance sono suddivise: i fornitori assicurano la conformità dell’infrastruttura e dei servizi, mentre i clienti devono garantire che le loro implementazioni rispettino le normative pertinenti. 

• Monitoraggio continuo della compliance. A causa della natura dinamica degli ambienti cloud, la compliance richiede un monitoraggio e un adattamento costante. Ne consegue che le organizzazioni devono attuare un controllo continuo della compliance per individuare e risolvere tempestivamente eventuali problemi. Ciò include audit regolari, l’uso di strumenti di monitoraggio in tempo reale e l’aggiornamento delle politiche e procedure per adeguarsi alle normative in evoluzione. 

• Gestione dei fornitori. È essenziale che i fornitori di servizi cloud mantengano elevati standard di compliance, il che implica una gestione rigorosa dei fornitori, comprensiva di revisioni e audit regolari del loro stato di conformità, la comprensione dei loro processi e la gestione tempestiva di eventuali cambiamenti. Le organizzazioni che affrontano efficacemente queste sfide possono garantire i propri obblighi di compliance nel cloud, proteggendo i dati sensibili e mantenendo la fiducia di clienti e stakeholder. 

Normative e standard comuni per il cloud

Di seguito alcuni dei requisiti di compliance più comuni (normative, framework, benchmark, ecc.) per il cloud.

GDPR

Il GDPR e il cloud computing interagiscono in modi significativi, poiché il regolamento influisce su come i dati personali sono gestiti all’interno degli ambienti cloud. Di seguito alcuni punti chiave di questa interazione:

• Localizzazione dei Dati. Le organizzazioni devono sapere dove sono localizzati i dati nel cloud per rispettare le norme GDPR, garantendo che i dati non vengano trasferiti al di fuori del SEE (Spazio Economico Europeo) senza protezioni legali adeguate.  

• Responsabilità Condivisa. Nel cloud, la responsabilità della protezione dei dati è condivisa tra il fornitore del servizio cloud e il cliente. Le organizzazioni devono assicurarsi che i loro fornitori di servizi cloud siano conformi al GDPR e che esistano contratti che definiscano chiaramente le responsabilità di ciascuna parte. 

• Sicurezza dei Dati. Il GDPR impone che le organizzazioni adottino misure adeguate a proteggere i dati personali. Ciò include l’uso di tecnologie di sicurezza appropriate nel cloud, come la crittografia e il controllo degli accessi. 

• Diritti degli Interessati. Le organizzazioni che utilizzano il cloud devono essere in grado di rispettare i diritti degli individui previsti dal GDPR, come il diritto di accesso e il diritto di cancellazione, anche quando i dati sono archiviati nel cloud. 

• Valutazione dell’Impatto sulla Privacy. Il GDPR richiede una valutazione dell’impatto sulla protezione dei dati (DPIA – Data Protection Impact Analysis) per il trattamento dei dati che possono comportare un rischio elevato per i diritti e le libertà degli interessati. Le organizzazioni devono valutare come l’uso del cloud possa influire sulla privacy dei dati. 

• Notifica delle Violazioni. Il GDPR richiede che le violazioni dei dati siano notificate alle autorità competenti entro 72 ore. Le organizzazioni devono avere processi in atto per rilevare e rispondere rapidamente alle violazioni, anche quando i dati sono nel cloud. 

NIST

Il NIST (National Institute of Standards and Technology) sviluppa e distribuisce standard principalmente per uso governativo americano, ma che sono ampiamente utilizzati dall’industria privata e dalle organizzazioni. Di seguito una serie di norme SP (Special Publications), ampiamente utilizzate per favorire la compliance nel cloud:

NIST SP 800 – 144. Linee guida chiave per mantenere la sicurezza e la privacy nei cloud pubblici.

NIST SP 800 – 145. Definisce il cloud computing, le sue caratteristiche e i suoi modelli di servizio e distribuzione.

NIST SP 800 – 146. Vengono spiegati i sistemi cloud e quando e come utilizzarli.

NIST SP 800 – 53. Fornisce controlli di sicurezza per l’implementazione NIST CSF.

NIST SP 800 – 210. Fornisce indicazioni sul controllo degli accessi per diversi modelli di distribuzione cloud.

Famiglia di norme ISO 27000

La famiglia di standard internazionali ISO 27000 fornisce raccomandazioni complete sulle best practice per la protezione dei sistemi informativi da una varietà di minacce. Questa famiglia di norme comprende:

• ISO 27001. Si tratta dello standard principale della serie che offre una serie generale di controlli per la gestione della sicurezza delle informazioni. Esso definisce i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni (ISMS – Information Security Management System). 

• ISO 27017. Lo standard fornisce controlli di sicurezza aggiuntivi specifici per il cloud computing, affrontando le sfide di sicurezza uniche associate agli ambienti cloud. 

• ISO 27018. Lo standard è incentrato sulla protezione dei dati personali in ambienti basati su cloud, questo standard delinea i controlli sulla privacy per garantire la compliance alle normative sulla protezione dei dati. 

Standard di sicurezza dei dati del settore delle carte di pagamento (PCI DSS)

Il PCI DSS è uno standard di sicurezza per le organizzazioni che accettano o elaborano pagamenti con carta. Esso è stato progettato per proteggere le transazioni e i dettagli dei titolari di carta e stabilisce alcuni requisiti essenziali e specifici rispetto a normative generali come il GDPR. Tuttavia, l’implementazione di questi requisiti varia negli ambienti cloud, dove i tradizionali firewall perimetrali non sono adatti alla natura dinamica del cloud. Per questo, le organizzazioni devono utilizzare firewall cloud, soluzioni software adattabili che offrono sicurezza robusta e flessibile.

NIS2 e DORA

Sia la direttiva NIS2 sia il regolamento DORA impongono requisiti di sicurezza e resilienza che i fornitori di servizi cloud devono soddisfare. Ciò include l’adozione di misure di protezione avanzate, la gestione dei rischi, e la garanzia di continuità operativa.

Le organizzazioni che utilizzano servizi cloud devono assicurarsi che i loro fornitori siano conformi a queste normative per proteggere i dati sensibili e garantire la continuità dei servizi. Inoltre, la conformità a NIS2 e a DORA può comportare la revisione di contratti e accordi con fornitori di servizi cloud per allinearsi ai nuovi requisiti di sicurezza e resilienza.

AI Act

I Cloud Service Provider (CSP) che offrono piattaforme come servizio (PaaS), inclusi i principali provider come AWS, Azure e Google Cloud, saranno soggetti a specifici obblighi normativi, soprattutto quando queste piattaforme ospitano o distribuiscono sistemi di intelligenza artificiale. In base ai requisiti dell’AI Act, i fornitori di servizi cloud dovranno garantire:

• Maggiore sicurezza e resilienza informatica – L’AI Act richiede standard elevati di sicurezza informatica, in particolare per le applicazioni AI ad alto rischio. I provider cloud potrebbero dover implementare controlli di sicurezza robusti, come crittografia, monitoraggio degli accessi e segnalazione degli incidenti. 

• Trasparenza e governance dei dati – I fornitori dovranno probabilmente fornire strumenti ai clienti per garantire trasparenza, tracciabilità dei dati e valutazione del rischio, assicurandosi che i sistemi di intelligenza artificiale rispettino i rigorosi standard di governance dei dati imposti dalla legge. 

• Supporto per la documentazione di conformità – I provider cloud potrebbero dover offrire modelli di documentazione e strumenti di reporting per la conformità, agevolando i clienti nel soddisfacimento dei requisiti normativi. 

• Servizi di conformità specializzati – Il rispetto di questi nuovi standard probabilmente spingerà i provider cloud a sviluppare servizi su misura per ambienti di intelligenza artificiale regolamentati, incluse configurazioni preconfigurate pronte per la conformità. 

Regolamento unico per le infrastrutture e i servizi cloud per la PA (ACN)

Il regolamento stabilisce, unificando in un unico quadro normativo, le misure minime che le infrastrutture, come i data center e i servizi cloud, devono rispettare per supportare i servizi pubblici in Italia.

Inoltre, definisce le caratteristiche di qualità, sicurezza, performance, scalabilità e portabilità necessarie per i servizi cloud destinati alla pubblica amministrazione. Il Regolamento include anche le modalità di migrazione e i criteri di qualificazione dei servizi cloud per la PA.

Framework di sicurezza cloud più comuni

I framework di sicurezza offrono approcci strutturati per gestire e mitigare i rischi di sicurezza informatica, fornendo linee guida e best practice per proteggere sistemi e dati. Essi supportano le organizzazioni nell’identificazione delle vulnerabilità, nell’implementazione di misure protettive e nel garantire la conformità ai requisiti di sicurezza. Di seguito i framework di sicurezza più comuni:

NIST Cybersecurity Framework (NIST CSF)

Il framework fornisce un approccio completo alla gestione dei rischi di sicurezza informatica, con linee guida per identificare, proteggere, rilevare, rispondere e recuperare dalle minacce. È progettato per essere flessibile e adattabile, permettendo alle organizzazioni di personalizzare i suoi componenti in base alle loro esigenze specifiche e ai profili di rischio.

Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM)  

Il CCM è un framework concepito per la valutazione dei controlli di sicurezza nei servizi cloud forniti dai vendor. Include una serie di principi e controlli di sicurezza che coprono diversi ambiti, supportando le organizzazioni nella valutazione del livello di sicurezza dei servizi cloud e garantendo che soddisfino i requisiti di sicurezza richiesti.

La Cloud Security Alliance (CSA) offre, inoltre, il Consensus Assessment Initiative Questionnaire (CAIQ) per l’autovalutazione di livello STAR Level 1, integrato nella versione 4.0 con il CCM. Questa versione è focalizzata sul Security Shared Responsibility Model (SSRM) e serve come strumento di autovalutazione per le imprese. È importante notare che il livello 2 del CSA STAR consente alle organizzazioni di incorporare ulteriori certificazioni ed è diventato un requisito per la qualificazione dei servizi cloud nella PA italiana. Inoltre, la CCM della CSA è allineata con il Framework Nazionale per la Cybersecurity e la Protezione dei Dati dell’Agenzia per la Cybersicurezza Nazionale (ACN).

Center for Internet Security (CIS) Controls

I controlli CIS sono un insieme di best practice progettate per migliorare la sicurezza informatica in vari ambienti, incluso il cloud. Essi offrono raccomandazioni e controlli praticabili per aiutare le organizzazioni a rafforzare le loro difese contro minacce informatiche e vulnerabilità comuni. Tali controlli si concentrano su aree chiave come la gestione delle risorse, il controllo degli accessi e la risposta agli incidenti.

MITRE ATT&CK for Cloud

Il framework estende la matrice MITRE ATT&CK per affrontare tattiche, tecniche e procedure (TTP) utilizzate dagli avversari negli ambienti cloud. Esso aiuta le organizzazioni a comprendere le minacce e i vettori di attacco specifici del cloud computing, offrendo una visione completa di come gli aggressori potrebbero sfruttare le infrastrutture cloud e fornendo indicazioni su come rilevare e mitigare queste minacce.

Best practice per la compliance del cloud

Le organizzazioni che utilizzano servizi cloud devono adottare le migliori pratiche per soddisfare i requisiti normativi e proteggere i dati sensibili. Di seguito un elenco delle principali best practice:

• Comprendere le normative pertinenti. Le organizzazioni devono identificare le leggi e i regolamenti applicabili al loro settore e garantire che il loro ambiente cloud sia conforme a tali normative. È essenziale condurre revisioni periodiche per mantenere la conformità in un panorama normativo in continua evoluzione. 

• Conoscere i rischi di sicurezza specifici. È essenziale identificare e affrontare i rischi di sicurezza specifici del proprio settore, per mantenere la compliance e proteggere le informazioni sensibili. 

• Proteggere i dati tramite crittografia. Crittografare i dati inattivi e in transito riduce il rischio di accesso non autorizzato. Inoltre, è fondamentale gestire le chiavi di crittografia in modo sicuro. 

• Comprendere il modello di responsabilità condivisa. La compliance nel cloud è una responsabilità condivisa tra il fornitore di servizi e il cliente. Mentre il provider si occupa della sicurezza dell’infrastruttura, il cliente è responsabile della protezione dei propri dati, inclusi la crittografia e il controllo degli accessi. 

• Verificare l’accordo sul livello di servizio (SLA, Service Line Agreement). Si tratta di esaminare attentamente l’SLA con il provider cloud per assicurarsi che sia in linea con i requisiti di compliance, chiarendo le responsabilità e le misure di recupero in caso di problemi. 

• Configurare e monitorare il controllo degli accessi. Implementare controlli rigorosi e autenticazione a più fattori per garantire che solo personale autorizzato acceda ai dati sensibili. 

• Condurre audit regolari. Gli audit periodici aiutano a identificare e mitigare i rischi, valutando la compliance e l’efficacia dei protocolli di sicurezza, e consentono di apportare miglioramenti alle strategie di compliance. 

• Sviluppare e implementare politiche e procedure. Le organizzazioni dovrebbero sviluppare e implementare politiche e procedure specifiche relative ai servizi di cloud computing per garantire la compliance a tutte le normative e gli standard pertinenti, delineando altresì i processi e i controlli in atto per: proteggere i dati sensibili; mantenere la sicurezza dei sistemi; garantire la compliance a tutti i requisiti pertinenti. 

• Formare i dipendenti sulla compliance. Garantire che tutti i dipendenti siano consapevoli e comprendano l’importanza della compliance è fondamentale per le organizzazioni che utilizzano i servizi di cloud computing. Ciò può comportare la formazione sulle normative e gli standard pertinenti, nonché sulle politiche e le procedure che sono state messe in atto per garantire la compliance. Può anche essere utile nominare un responsabile della compliance o un team per supervisionare gli sforzi di compliance dell’organizzazione e per fornire guida e supporto ai dipendenti, se necessario. 

• Rimanere aggiornato sulle tendenze e gli sviluppi del settore. Il panorama delle leggi e dei regolamenti che regolano il cloud computing è in continua evoluzione, quindi, le organizzazioni devono rimanere aggiornate sulle ultime tendenze e sviluppi del settore. Ciò può comportare l’abbonamento a pubblicazioni di settore, la partecipazione a conferenze e seminari e il rimanere in contatto con esperti del settore per garantire che l’organizzazione sia a conoscenza di eventuali modifiche o aggiornamenti che potrebbero influire sul suo stato di compliance 

La continua migrazione al cloud computing è parte integrante della trasformazione digitale in corso ed atta a soddisfare la crescente domanda di servizi internet da parte di cittadini, imprese e Pubblica Amministrazione.

Ne consegue che la conformità nel cloud diventa essenziale per le organizzazioni che utilizzano questi servizi, poiché assicura il rispetto dei requisiti normativi, protegge i dati sensibili e mantiene la fiducia dei clienti.

Le organizzazioni possono garantire un ambiente cloud sicuro e conforme comprendendo il modello di responsabilità condivisa, identificando le normative e le regolamentazioni specifiche del settore, oltre ad implementare best practice.

È importante sottolineare che, con l’evoluzione rapida delle leggi sulla privacy dei dati e delle minacce alla sicurezza informatica, mantenere la conformità nel cloud è un processo continuo che richiede monitoraggio costante, aggiornamenti regolari delle policy e un approccio proattivo alla gestione del rischio. Pertanto, una strategia di compliance in ben strutturata non solo mitiga i rischi, ma promuove una cultura di responsabilità e fiducia, posizionando le organizzazioni per il successo a lungo termine nell’era digitale.