Analisi

Cloud, mitigare il rischio cominciando dai contratti

Secondo Gartner, l’utilizzo efficace dei servizi Cloud richiede la risoluzione di alcuni aspetti problematici nella stesura dei contratti che tengano conto della security e della tutela dei dati. I suggerimenti dell’analista

Pubblicato il 27 Ago 2013

sicurezza-130412124039

Gli acquirenti dei servizi cloud, in particolare di software as a service (SaaS), non ottengono oggi garanzie sufficienti in tema di sicurezza dei dati da parte dei loro fornitori.

Lo sostengono gli analisti di Gartner, denunciando il fatto che i contratti SaaS abbiano all’interno termini ambigui per ciò che riguarda la gestione della confidenzialità dei dati, l’integrità e il recupero in caso di incidenti informatici. Questo comporta l’insoddisfazione tra gli utilizzatori, rende inoltre difficile per chi usa e rivende servizi conoscere la propria posizione di rischio e farla valere presso gli enti di controllo.

Secondo Gartner, almeno fino al 2015, i termini usati nei contratti SaaS e le garanzie che riguardano la sicurezza non saranno soddisfacenti per l’80% dei professionisti di IT procurement. “I problemi riguardano forma e grado di trasparenza attuali e ottenibili in futuro dai service provider”, specifica Alexa Bona, vice president e distinguished analyst di Gartner.

Come minimo, i contratti SaaS dovrebbero assicurare l’effettuazione di un controllo annuale sulla sicurezza, le certificazioni di terze parti e un’opzione di decadenza nel caso di problemi di sicurezza che il provider non riesce a risolvere. In aggiunta è ragionevole per i clienti ottenere dal provider informazioni che riguardano le analisi sulla sicurezza.

La Cloud Security Alliance (CSA), per esempio, ha predisposto una matrice di riferimento per i controlli ritenuti più importanti nell’erogazione dei servizi di cloud computing. “Man mano che la domanda cresce e maturano gli standard diverrà pratica comune fare controlli e monitoraggi e ottenerne visibilità sul sito del provider”, precisa Bona.

In attesa che questo accada, gli utenti non dovrebbero fidarsi troppo degli SLA che riguardano security e recovery. A prescindere dai termini, gli utilizzatori hanno bisogno che i dati siano protetti da attacchi, o comunque recuperabili in caso di incidente. I provider dovrebbero essere obbligati per contratto a rispondere a queste aspettative.

Gli analisti di Gartner consigliano di mettere a contratto i recovery time e i recovery point objectives (RT e RPO) oltre ad altre misure sulla data integrity, con penalità appropriate in caso di non ottemperanza.


Ottenere maggiore impegno sulla sicurezza
Poiché non esistono accordi su come formalizzare in un contratto gli obiettivi di sicurezza, la maggioranza dei fornitori SaaS si impegna oggi il meno possibile. E’ invece importante che siano messi nero su bianco servizi di protezione contro gli accessi non autorizzati, le certificazioni annuali con gli standard riconosciuti e i test di vulnerabilità periodici.

La mancanza di risarcimenti significativi in caso di perdite di sicurezza o di dati è un fattore di esposizione al rischio nei contratti SaaS. Rischi particolarmente ravi perché l’errore del provider può si ripercuotersi su migliaia di clienti simultaneamente.

Se da una parte la maggioranza dei provider non riconosce risarcimenti diversi dall’estensione temporale dei servizi, gli utenti, secondo Garrtner, dovrebbero pretendere di più dei classici 12 mesi oltre a garanzie assicurative più appropriate, almeno dove è possibile.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati