Backup, DR e business continuity

Dati in cloud: chi è il responsabile?

12 Settembre 2023

L’accelerazione che ha avuto il cloud negli ultimi anni e la crescente adozione di servizi cloud delle piccole e medie imprese (basti pensare alla diffusione di Microsoft 365 o G Suite) rischia di far passare il cloud come la soluzione di qualsiasi problema informatico.

L’espressione “ce l’ho in cloud” sembra in grado di dissolvere come per magia tutti i problemi e tutte le sfide di business e tecniche che si era abituati a fronteggiare prima dell’avvento del cloud.

Benché il cloud rappresenti innegabilmente una grande opportunità e porti benefici, occorre abbracciare il cloud con la giusta (in)formazione.

Quando il cloud non esisteva, tutto era sulle spalle delle aziende:

  • Hardware
  • Infrastruttura di rete
  • Sistema operativo
  • Applicazioni
  • Account utente
  • Dispositivi (mobili e pc)
  • File, dati e informazioni

In sintesi, per eseguire qualsiasi procedura informatica occorreva “possedere” tutto quanto era necessario a far girare le applicazioni, dalla A alla Z.

Questo significava ingenti investimenti economici, dotarsi di un IT interno in grado di governare tutta la complessità dell’informatica.

Con l’avvento del cloud la situazione si è quasi completamente capovolta, sicuramente è cambiata profondamente.

Ma è necessario capire bene cos’è il cloud perché il rischio è quello di fare un ragionamento sbagliato, perché la facilità con cui possono essere fruiti questi servizi nasconde delle insidie per le aziende.

La facilità con cui si può accendere un contratto e utilizzare immediatamente un’applicazione in cloud porta a un pericoloso sillogismo.

Metto l’applicazione in outsourcing, spostando tutto nel cloud.

Quindi ho risolto i problemi di infrastruttura (vero).

Quindi ho risolto i problemi (falso).

Andare verso il cloud infatti porta a un cambio di paradigma, si entra nel regno del modello a responsabilità condivisa.

Il fornitore cloud infatti si fa carico e si assume gli oneri di tutto quanto concerne l’erogazione del servizio.

La maggior parte dei fornitori che erogano servizi SaaS mette a disposizione dei clienti:

  • Hardware
  • Infrastruttura di rete
  • Sistema operativo
  • Applicazioni

Nulla fa, invece, per la protezione dei dati, che è demandata alle aziende che si devono far carico di:

  • Account utente
  • Dispositivi (mobili e pc)
  • File, dati e informazioni

Detto in parole povere il fornitore cloud ti assicura che “il sistema” funzioni a dovere, ma il contenuto – e la protezione del contenuto – è un problema tuo.

Quindi la ridondanza e l’affidabilità dei sistemi, la tolleranza ai guasti, l’aggiornamento delle applicazioni sono tutte attività in carico al fornitore cloud; tuttavia quello che ci metti dentro è responsabilità tua.

Quindi permessi di accesso ai dati, protezione da virus e cancellazioni dolose o colpose, backup dei dati stessi sono tutte attività a carico dei clienti, ma comunque una tua responsabilità.

E il fatto che “siamo andati in cloud” non cambia quasi nulla.

Come quando era tutto in azienda proteggevi i tuoi dati e dovevi farti carico dei processi per trattare i dati e stabilire chi poteva accedere a trattarli, così ora devi farti carico delle stesse responsabilità, solo che i dati stanno fuori dall’azienda.

E se vai a leggere i contratti e gli SLA del tuo fornitore cloud scoprirai che lui si tira fuori dai contenuti, ma si occupa solo della infrastruttura.

Per concludere, quali sono le responsabilità dei dati in cloud, secondo il GDPR, per MSP e clienti?

Non sono un avvocato, ma posso fornire alcune informazioni generali su come il GDPR tratta le responsabilità per i dati in cloud, sia per i Managed Service Providers che per i loro clienti.

Per gli MSP:

  1. Ruolo del Responsabile del Trattamento o del Soggetto Incaricato del Trattamento: Gli MSP devono chiarire se operano come Responsabili del Trattamento o come Soggetti Incaricati del Trattamento, poiché ciascun ruolo ha differenti responsabilità legali sotto il GDPR.
  2. Contratti e Accordi: Devono esserci accordi scritti tra il cliente e l’MSP che definiscono le responsabilità, i livelli di servizio e come i dati saranno protetti e gestiti.
  3. Misura di Sicurezza: Gli MSP sono tenuti a implementare misure di sicurezza appropriate per proteggere i dati personali.
  4. Notifica di Violazione: In caso di violazione dei dati, l’MSP deve notificarlo all’autorità competente e, in alcuni casi, al cliente, secondo le linee guida del GDPR.
  5. Trasferimento di Dati: Se i dati vengono trasferiti al di fuori dell’EEA (Area Economica Europea), l’MSP deve assicurarsi che siano rispettate le regolamentazioni sul trasferimento di dati del GDPR.

Per i Clienti:

  1. Valutazione dell’MSP: I clienti devono fare la dovuta diligenza quando scelgono un MSP, assicurandosi che rispettino le norme del GDPR.
  2. Accordi Contrattuali: Assicurarsi che i contratti con l’MSP siano conformi alle normative del GDPR.
  3. Gestione del Consenso: I clienti hanno la responsabilità di ottenere il consenso dagli interessati prima di elaborare o trasferire dati personali.
  4. Notifica di Violazione: Anche i clienti hanno obblighi di notifica nel caso in cui si verifichi una violazione dei dati.
  5. Verifica e Audit: I clienti potrebbero dover effettuare verifiche periodiche per assicurarsi che l’MSP stia conformando ai requisiti del GDPR.
  6. Diritti degli Interessati: I clienti devono essere in grado di rispondere alle richieste degli utenti riguardanti i loro diritti sotto il GDPR, come il diritto alla cancellazione o alla rettifica dei dati.

Entrambe le parti dovrebbero consultare dei legali per garantire la piena conformità al GDPR.

Un servizio SLA, inoltre, può tornare molto utile: ne parlo qui.

Il fornitore cloud si occupa fondamentalmente che l’infrastruttura funzioni ma a proteggere il contenuto ci deve pensare il cliente o l’MSP che segue il cliente.

Per saperne di più, nel corso di un Webinar On Demand abbiam visto i motivi per cui anche i dati e le email che si trovano in Microsoft 365 sono a rischio e vedremo in che modo tu possa proteggerli con un backup a misura di cloud e di MSP.

Guarda il Webinar On Demand
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2021: BlackBerry Protect Endpoint protection a prova di futuro. Protezione contro le minacce moderna anche offline, anche se l’agente non è aggiornato. ConnectWise Automate RMM pronto all’uso per chi inizia, ma stabile e iperconfigurabile per MSP più navigati. Zomentum La piattaforma per MSP che accelera le vendita grazie a offerte efficaci e ordini più veloci. Axcient Direct To Cloud Backup, Disaster recovery e business continuity direttamente nel cloud, senza appliance. Prezzo fisso tutto incluso, spazio illimitato, con possibilità di ripartenza nel cloud. Carbonite Endpoint Consente agli MSP di proteggere i dati che risiedono sulle postazioni di lavoro dei clienti, anche quando questi sono fuori sede.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. Stimato da colleghi e clienti per la schiettezza e l’onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
Iscriviti
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti