Governance Cybersecurity & Cloud Computing

A cura di Valentina Sapuppo

Introduzione

Il Cloud Computing è la chiave della digitalizzazione moderna ed è così importante tanto che si trova al centro della regolamentazione europea in materia di Cybersecurity nella strategia per lo sviluppo del “Digital Europe Programme for Europe’s Digital Transition and Cybersecurity” – DEP 2023/2024.

Tuttavia, a fronte delle note difficoltà incontrate dalle aziende che hanno scelto di immettersi nella via dell’accreditamento per l’ottenimento dei finanziamenti europei, è bene fare chiarezza sull’importanza di scelte di business orientate alla Governance Cybersecurity & Cloud Computing, tenuto conto dei principali Framework presenti sul mercato internazionale.

Perché è importante orientare il business alla Governance

Al fine di sviluppare indirizzi strategici adeguati e definiti sulla base dei risultati attesi, l’Industria 4.0 deve aver chiaro in quale contesto opera, i propri obiettivi di business e quali sono le aspettative delle parti interessate. Chiaramente, non può esserci attività industriale a rischio zero e per questo, data la forte digitalizzazione dei processi e del mondo moderno, per aiutare le organizzazioni a comprendere, ridurre e comunicare, internamente e esternamente, sul rischio di sicurezza informatica, già dal 2014 il National Institute of Standard and Technology - NIST ha dato vita al CSF Core, poi aggiornato nel 2018, a cui si è ispirato anche il modello italiano.

Quest’anno, con lo scopo di chiarire come “affrontare le sfide attuali e future della sicurezza informatica e per rendere più facile per le organizzazioni l’uso del Framework”, il framework è stato aggiornato nella sua nuova versione, il NIST Cybersecurity Framework (CSF o Framework) V. 2.0, la cui bozza è posta all’attenzione degli stakeholders, i quali dovranno fornire i propri feedback entro il 4 novembre 2023.

Il nuovo CSF Versione 2.0 implementa una nuova funzione, la più importante: la Governance. Si prende atto, pertanto, della fondamentale importanza di “stabilire e monitorare la strategia, le aspettative e le politiche di gestione del rischio di sicurezza informatica dell’Organizzazione”, prima ancora di attivare i controlli delle classiche funzioni Identify, Protect, Detect, Respond e Recover.

Nella funzione di governo del rischio cyber, “che copre il modo in cui un’organizzazione può prendere ed eseguire le proprie decisioni interne per sostenere la sua strategia di sicurezza informatica”, il NIST dimostra di implementare la già nota struttura dei framework internazionali ISO/IEC, poiché scandaglia minuziosamente i punti dell’HLS – Hight Level Structure, ossia contesto, gestione del rischio di Business e della Supply Chain, ruoli e responsabilità, politiche, processi, procedure e controlli. La nuova versione, che definisce inoltre i modelli di Shared Responsibility Model da tenere a mente per la sottoscrizione dei contratti di servizi con i fornitori di servizi Cloud, si applica a tutti i tipi di ambienti tecnologici, dai sistemi di Intelligenza Artificiale - IA a quelli strutturati in Cloud Computing. La Governance Cloud Computing, infatti, è presente in tutte le funzioni del CSF 2.0 e nei relativi controlli.

Tuttavia, è necessario fare un ulteriore sforzo quando si persegue l’obiettivo di governare il Cloud Computing. Infatti, l’Open Group ha definito i 5 principi di Governance del Cloud Computing, da adottare e applicare nell’intero il ciclo di vita del Cloud:

1. Conformità con le politiche e gli standard: gli standard cloud dovrebbero essere aperti, coerenti e complementari agli standard prevalenti nel settore e adottati dall’azienda.
2. Gli obiettivi aziendali devono guidare la strategia del cloud: la strategia del cloud aziendale dovrebbe essere parte integrante della strategia aziendale e IT complessiva guidata sia dagli obiettivi “business of the business” che “business of IT” per l’azienda.
3. Contratti di collaborazione tra gli stakeholders dell’ecosistema cloud: una chiara serie di regole e accordi che definiscono l’interazione tra le parti interessate è essenziale per consentire la loro sana coesistenza all’interno dell’ecosistema cloud.
4. Aderenza ai processi di gestione del cambiamento: il cambiamento dovrebbe essere esercitato e applicato in modo coerente e standardizzato in tutti i componenti dell’ecosistema cloud dell’azienda.
5. Applicazione dei processi di vitalità per ottenere un miglioramento continuo: i processi di governance del cloud computing devono monitorare dinamicamente gli eventi che innescano miglioramenti continui.

Una volta compresi, fissati e implementati tali principi, l’Industria 4.0 deve definire, quale sottoinsieme delle scelte di Business Management, un quadro di Cloud Governance in linea con gli obiettivi prefissati e i KPI della sicurezza informatica.

I Principali Framework Cloud Computing

Le Industrie 4.0 hanno la necessità di identificare e misurare qualsiasi tipologia di rischio, da quello finanziario, creditizio, legale, normativo a quello reputazionale al fine di sviluppare nuove strategie di gestione, riduzione e mitigazione del rischio.

A livello internazionale, sono già presenti diversi Framework che definiscono la Governance del Cloud Computing. Da ISACA a Cloud Security Alliance – CSA, passando per ISO/IEC, notiamo che il ventaglio di opzioni per le aziende che vogliono entrare nella Nuvola (o che scelgono di farne parte come Cloud Service Provider – CSP) sono diverse e la scelta, probabilmente, verte su quello che è maggiormente integrabile con eventuali certificazioni già ottenute in punto di qualità [ISO/IEC 9001:2015] e di sicurezza delle informazioni [ISO/IEC 27001: 2022].

Nel mondo ISACA la Governance è definita come “il processo con cui un’Organizzazione assicura che esigenze, condizioni e opzioni degli stakeholder siano valutate per raggiungere obiettivi equilibrati e concordati. […] Il cloud computing influisce pesantemente sulla governance, perché introduce un nuovo modello di business, nuove tecnologie che richiedono tipi di controlli e processi sconosciuti e nuove terze parti nell’ecosistema IT.” Infatti, il Cloud Governance Framework di ISACA traduce un ambiente interoperante con le varie componenti IT, poiché prende in considerazione situazioni di digitalizzazione che comportano la migrazione dei servizi in house negli spazi di storage forniti da un CSP – Cloud Service Provider. Sono presenti 14 aree di Governance Cloud principali, la cui portata può mutare a seconda del tipo di servizio Cloud implementato - SaaS, IaaS o PaaS – e che sono rappresentate dal cerchio esterno dell’immagine riportata.

I cerchi più interni definiscono propriamente le varie sfumature dei processi in base al tipo di architettura Cloud scelta e, quindi, in linea con il c.d. Shared Responsibility Model, già ben noto al mondo di Cloud Security Alliance - CSA.

Nel mondo ISO/IEC, invece, sono due gli standard che traducono le tecniche di sicurezza per la Governance del Cloud Computing:

• ISO/IEC 27017:2015 Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services.

In questo Framework sono definite le linee guida per i controlli di sicurezza delle informazioni applicabili alla fornitura e all’uso dei servizi Cloud basati sulla SOA della ISO/IEC 27002, dimostrando come anche in questo contesto la Governance Cloud sia un di cui della Governance IT.

• ISO/IEC 27018:2019 Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.

In questo Framework, invece, il focus è sul c.d. Cloud Pubblico e sono definiti controlli, obiettivi e linee guida che vanno ad arricchire ulteriormente i controlli della SOA della ISO/IEC 27002, in linea con le esigenze di tutela dei dati personali delle persone fisiche.

Inoltre, secondo gli esperti di Cloud Security Alliance - CSA si ritiene sia una scelta migliore occuparsi della Governance e poi delle questioni di Cybersecurity. Secondo tale inquadramento, sono forniti diversi strumenti che consentono di migliorare la Governance Cloud e dimostrare alle Industrie 4.0 di essere compliant. Tra questi, CSA offre il Consensus Assessments Initiative Questionnaire – CAIQ, il questionario di base – composto da 261 domande - per realizzare l’autovalutazione STAR Level 1, dal 20 1 combinato nella versione 4.0 con la Cloud Controls Matrix – CCM, strutturata su 197 obiettivi di controllo sviluppati in 17 domini relativi agli aspetti chiave della tecnologia cloud e che può essere utilizzato dalle aziende come strumento di self assessment sistematico. La versione 4.0 è prettamente orientata al Security Shared Responsibility Model – SSRM.

Il CSA STAR di livello 2, invece, che consente alle organizzazioni di basarsi su altre certificazioni e standard di settore per renderli specifici per il cloud, oggi è stato identificato come uno dei requisiti di sicurezza previsti per la nuova qualificazione dei servizi Cloud per la PA italiana. Infatti, la Cloud Control Matrix - CCM di CSA integrerà le caratteristiche di sicurezza del Framework Nazionale per la Cybersecurity e Data Protection, ambito di competenza dell’Agenzia per la Cybersicurezza Nazionale - ACN.

Sono diverse le attività di ricerca e sviluppo che gli esperti presenti in Cloud Security Alliance - CSA portano avanti. Tra questi, il gruppo di lavoro di sulla Governance SaaS ha proceduto a sviluppare la SaaS Governance Best Practice for SaaS Customers, così da definire i meccanismi per garantire la sicurezza dei dati dei clienti e la resilienza dell’infrastruttura Cloud SaaS. Ciò in quanto “Il SaaS richiede una diversa mentalità di governance della sicurezza” anche alla luce del fatto che “a causa della forte pressione competitiva nel mercato SaaS di oggi, la sicurezza troppo spesso non è una priorità assoluta per i fornitori SaaS, specialmente per i fornitori più piccoli che potrebbero non avere le competenze di sicurezza necessarie per identificare e gestire i rischi che potrebbero avere un impatto sui clienti cloud e sulle operazioni del fornitore di cloud.” Tutti i Cloud Service Provider – CSP che soddisfino i requisiti previsti, possono fare richiesta per essere inseriti nel CSA Trusted Cloud Providers, un registro pubblicamente accessibile armonizzato con la Cloud Controls Matrix – CCM. Come affermato dalle parole degli esperti “il programma STAR facilita efficacemente una migliore relazione tra i fornitori di cloud e gli utenti del cloud: questo è un aspetto unico che non può essere replicato da altri schemi di sicurezza del cloud”. Inoltre, “la certificazione CSA STAR è un framework di garanzia, che consente ai fornitori di servizi cloud di incorporare controlli di sicurezza specifici per il cloud. Il modello di maturità si concentra continuamente sull’affrontare il rischio mutevole di questa tecnologia, che si allinea con l’impegno di BSI ad aiutare i clienti a rendere l’eccellenza un’abitudine.”

Conclusioni

La difficoltà di implementazione dei sistemi di Cloud Computing è data dal fatto l’Industria 4.0 deve procedere ad amalgamare tali tecnologie le già note aree di Governance IT, tenuto conto anche della normativa vigente. Ciò in quanto l’utilizzo dei servizi di Cloud Computing, siano essi in house o in pay as a service, non garantisce automaticamente la tutela della sicurezza delle informazioni e, pertanto, sarebbe necessario sviluppare una infrastruttura che consenta ai Cloud Service Provider e ai Cloud Service Consumer – CSC di fuggire scenari di rischio - come quelli che potrebbero portare a dei Data Breach – davvero molto rischiosi anche in punto di violazione della normativa portata dal Regolamento 679/2016 – GDPR. Infatti, le Industrie 4.0 che operano nel mondo della Data Driven Economy si pongono pienamente nella qualità di titolari delle attività di trattamento di dati personali in Europa e nel mondo in tutti quei casi in cui siano esse stesse a decidere che i dati debbano essere trattati su piattaforme Cloud. Pertanto, alla luce delle nuove esigenze di Governance orientate al miglioramento continuo e all’osservanza di leggi e regolamenti, l’adozione di corrette scelte di Cloud Governance consentirà all’Industria 4.0 una migliore Data Governance e Data Quality, entro un perimetro cybersecuritario forte e resiliente. Inoltre, è necessario che ruoli e responsabilità tra il Cloud Service Provider – CSP e il Cloud Service Customer – CSC siano chiaramente definiti nei contratti di servizi – siano essi Service life cycle management - SLM o le Service-level agreement - SLA - in tal modo inquadrando già a monte una parte del rischio che dovrà essere gestito per il tramite di un Security Shared Responsibility Model – SSRM.