Contrattualizzazione dei Cloud Service Provider: costi e opportunità
A cura di Sara Frati, Lead Cybersecurity Advisor e Luca Guerri La Costa, Lead Cybersecurity Advisor
Nell'era della transizione digitale, dove le minacce alla sicurezza si evolvono parallelamente all'evolversi della tecnologia diventando più raffinate, un numero sempre maggiore di aziende sceglie di spostare i propri dati in cloud.
Tale scelta richiede tuttavia un’attenta valutazione dei costi e dei benefici che prenda in considerazione - da un lato - i costi legati all’acquisto del servizio e alla configurazione dell’infrastruttura cloud e - dall’altro - tutti benefici legati alla contrattualizzazione del Cloud Service Provider (c.d. CSP). Si pensi, a titolo esemplificativo, alla qualità e rapidità del supporto tecnico, essenziale per la soddisfazione del cliente e per la risoluzione di eventuali problematiche legate all’erogazione del servizio o all’elevato livello di esperienza e competenza delle figure professionali individuate dal provider (es. analisti, legali ecc…); tali expertise sono legate sia alla specificità e settorialità del servizio sia alla presenza di certificazioni di sicurezza (come, ad esempio, la CSA Star) che, fornendo una valutazione indipendente delle pratiche di sicurezza del CSP, garantiscono l'impegno dello stesso e di tutto il personale competente verso gli elevati standard di sicurezza e trasparenza previsti dalle best practices di settore rassicurando i clienti in merito alla gestione sicura dei loro dati sensibili.
Nella valutazione dei costi e dei benefici legati alla contrattualizzazione di un Cloud Service Provider, si deve tenere presente che i costi legati all’acquisto del servizio sono spesso bilanciati rispetto ai costi da sostenere per dotarsi di una struttura interna autonoma e competente.
Shared Responsibility Model, ruoli e competenze in ambiente cloud
In quest’ottica, tra i benefici certamente più rilevanti da tenere in considerazione quando si procede alla contrattualizzazione di un Cloud Service Provider, vi è il cosiddetto Shared Responsibility Model, che consente la condivisione delle responsabilità tra il CSP stesso e il Cloud Service Customer (c.d. CSC) al fine di garantire la sicurezza e la conformità dell'ambiente cloud riducendo così i costi interni legati alla cybersecurity e il carico operativo della relativa struttura, migliorando altresì il livello complessivo della sicurezza informatica aziendale.
Generalmente, infatti, nell’ambito dei c.d. sistemi on-premises, ovvero di quei sistemi gestiti direttamente all’interno dell’azienda, la responsabilità della sicurezza interessa esclusivamente il proprietario dei sistemi e delle infrastrutture che ospitano i dati. Una tale gestione impone dunque all’azienda di sostenere costi elevati per investire sulla formazione e sull’aggiornamento costante dei servizi di cyber security.
Tuttavia, quando l’azienda decide di investire nell’acquisto di un servizio cloud, entra in gioco il modello di shared resposibility che, consentendo di delineare con precisione quali compiti di sicurezza restano in carico all’azienda cliente (CSC) e quali vengono demandati al CSP, permette di individuare in modo chiaro i compiti e le responsabilità di ciascuna parte. Pertanto, una mancata chiarezza in merito alla suddivisione delle responsabilità, può contribuire a configurazioni errate che indeboliscono il livello di sicurezza dell’azienda.
Come si può facilmente intuire, il concetto dello shared responsability model non prevede dunque uno sgravio di responsabilità del Cloud Service Customer a svantaggio Cloud Service Provider ma deve invece essere inteso come una vera e propria ripartizione di compiti e impegni su specifici temi della sicurezza informatica; infatti, non si può presumere in via generale l’esonero delle responsabilità del CSC legate all’inadeguata gestione del provider, l’eventuale sgravio dovrà essere appositamente previsto in sede contrattuale. Risulta quindi di fondamentale importanza - da un lato - selezionare accuratamente il provider a cui affidare l’incarico e - dall’altro - gestire con attiva partecipazione la fase di negoziazione delle clausole contrattuali e la definizione dei Service Level Agreement (SLA) ovvero di tutti quegli accordi che fissano e garantiscono il livello minimo di sicurezza.
I Service Level Agreement (SLA), un tassello fondamentale per la cybersecurity
Gli SLA costituiscono dunque il pilastro essenziale della sicurezza al fine di garantire un’adeguata protezione dei dati dei clienti all'interno dell’ambito cloud; diversamente dai KPI che rappresentano indicatori di successo sulle prestazioni del team rispetto agli standard stabiliti, i Service Level Agreement riguardano tipicamente il rapporto tra un cliente (CSC) e un fornitore di servizi (CSP) contribuendo così a delineare le misure di sicurezza adottate dal Cloud Service Provider e le rispettive responsabilità, dettagliando le azioni da intraprendere quando i livelli di prestazione non risultano soddisfatti. Questi accordi possono contenere informazioni relative alla gestione del rapporto contrattuale inerenti, ad esempio, al mancato rispetto degli accordi definiti negli SLA tra cui ricordiamo l’inserimento di clausole relative alla terminazione anticipata del contratto o la definizione di penali che il Cloud Service Provider dovrà corrispondere al cliente incentivandolo così a mantenere gli elevati standard di servizio concordati.
I Service Level Agreement possono contenere anche specifici dettagli tecnici relativi ai servizi offerti come, ad esempio, la percentuale di disponibilità del servizio, le politiche e procedure di backup e restore al fine di minimizzare la perdita di dati e di garantire la continuità operativa. Gli SLA possono definire anche i dettagli tecnici relativi alla gestione degli accessi, assegnando i permessi per accedere alle risorse e ai dati presenti all'interno dell'ambiente cloud, mitigando così i rischi legati alle violazioni della sicurezza e relativi alla crittografia dei dati implementando metodi crittografici robusti per proteggere la confidenzialità e l'integrità dei dati durante la trasmissione e l'archiviazione degli stessi proteggendoli così efficacemente da minacce interne ed esterne.
La negoziazione dei contratti: Service Level Agreement Standard Vs Contratti Personalizzati
Nonostante sia ormai chiara l’importanza di gestire attivamente e attentamente la fase negoziale, sul piano pratico la negoziazione degli SLA con un Cloud Service Provider di grandi dimensioni come ad esempio Google, AWS o Azure può spesso risultare complessa per un singolo individuo o una piccola-media impresa; in generale, infatti, spesso le grandi aziende o organizzazioni nazionali e internazionali hanno una maggiore forza negoziale.
Tuttavia, molte delle principali piattaforme cloud offrono flessibilità nella definizione degli SLA per adattarsi al meglio alle esigenze dei diversi clienti adottando contratti personalizzati; ciò è più frequente in presenza di servizi che comportano un impegno finanziario considerevole o altre specifiche esigenze.
In particolare, per le realtà di più piccole dimensioni come, ad esempio, piccole-medie imprese o singoli individui, è possibile beneficiare della collaborazione con partner di canale o rivenditori autorizzati del CSP; infatti, il loro supporto può contribuire ad agevolare notevolmente la negoziazione degli SLA contrattuali.
È inoltre sempre crescente l’attenzione dei Cloud Service Provider verso le start-up e le piccole-medie imprese che forniscono vantaggi aggiuntivi con programmi specifici volti a fornire un supporto tecnico e agevolazioni economiche.
Tale tendenza, è ulteriormente testimoniata dalle recenti attività della Commissione Europea che negli scorsi mesi ha costituito il c.d. Cloud Select Industry Group con lo scopo di avvicinare le aziende all’ambiente cloud; a tal fine, lo scorso giugno, sono state presentate dalla Commissione Europea delle Linee Guida per standardizzare i Service Level Agreement il cui impatto nei confronti degli utenti e in particolar modo delle PMI sarà verificato a partire dai prossimi mesi.
Le nostre iniziative di sensibilizzazione: Security Ninja
Siamo ben consapevoli dell’importanza di guidare le nuove generazioni nel complesso rapporto con le nuove tecnologie e, pertanto, NTT DATA Italia ha istituito un team di esperti che - mediante lo svolgimento di specifiche lezioni nelle scuole primarie di primo e secondo grado - è incaricato di portare avanti un’opera di sensibilizzazione sul corretto utilizzo dei social media e dei dispositivi informatici; l’iniziativa prende il nome di Security Ninja.