Una Nuvola Pubblica Certificata

 
DIAPOSITIVE SUCCESSIVE
Una Nuvola Pubblica Certificata
                              Alessandro Osnaghi, Fondazione Astrid
               Convegno Camera di Commercio di Torino, 13 febbraio 2012

Il termine cloud computing è oggi largamente diffuso e utilizzato spesso impropriamente
anche dai fornitori, che non sempre aiutano gli utenti a distinguere soluzioni in uso da tempo,
come le soluzioni di ASP (Application Service Provisioning), da quanto di nuovo si propone
con il paradigma cloud. È quindi importante chiarire le caratteristiche, che con precisione
definiscono i servizi cloud e gli attori che operano in questo nuovo mercato.

Il cloud computing è un insieme di servizi che i Cloud Service Provider (CSP) erogano agli
utenti attraverso varie tipologie di rete, in particolare Internet, e che per essere considerati tali
devono possedere tutte le seguenti caratteristiche, senza le quali si è in presenza di normali
servizi Web:
        capacità dell’utente di ottenere e gestire il servizio necessario a richiesta, senza
        necessità di rinnovi o estensioni contrattuali;
        accesso ai servizi tramite rete, in maniera tendenzialmente indipendente dal tipo di
        apparecchiatura utilizzato;
        capacità di gestire e assegnare le risorse di calcolo contemporaneamente a utenti
        differenti senza decrementi di prestazioni;
        capacità di gestire dinamicamente e in tempo reale la variabilità dei consumi della
        domanda di servizio da parte dei singoli utenti;
        capacità dei provider di misurare andamenti e consumi e di adeguare la risposta al
        variare della domanda, fornendo il dettagliato dei consumi.

La novità consiste nel fatto che i servizi cloud sono fatturati in base al consumo effettivo di
risorse: l’utente non ha necessità di fare investimenti in hardware, spesso dimensionati per le
esigenze di picco, e in licenze software, non deve affrontare tempi lunghi di
approvvigionamento di beni d’investimento prima di essere in grado di avviare una nuova
attività e non ha necessità di dotarsi di personale capace di gestire direttamente il proprio
sistema informatico; questo diventa virtuale, ospitato e gestito nella “nuvola” ed è solo
necessario acquisire connettività Internet adeguata e avere opportune apparecchiature di
accesso (PC o altro). In questo senso i servizi cloud computing favoriscono soprattutto
l’imprenditorialità nuova e la piccola e media impresa, riducendo l’entità degli investimenti e
dei tempi necessari per essere operativi.

I servizi cloud possono essere erogati attraverso Internet, e in questo caso si parla di cloud
pubblico, oppure sono erogati attraverso reti private, eventualmente anche estese a livello
globale, ad esempio la intranet di una multinazionale, ed in questo caso si parla di cloud
privato. Si hanno anche casi di cloud ibrido che combinano servizi delle due tipologie
precedenti oppure di cloud di comunità che, a prescindere dalla rete, erogano servizi destinati
a una specifica categoria di utenti.

I modelli proposti per i servizi cloud hanno caratteristiche diverse: nel modello IaaS
(Infrastructure as a Service) si erogano servizi infrastrutturali relativi a capacità elaborativa,
di memorizzazione dati, servizi di rete e altri servizi di base come back-up, disaster recovery
e continuità operativa, tutti servizi indipendenti dalle applicazioni dell’utente; nel modello
SaaS (Software as a Service) vengono erogati servizi di natura applicativa sia di tipo
orizzontale (ad esempio servizi di e-mail) che verticali, specifici di un settore applicativo. In
virtù di questi servizi, in pratica un’azienda o un’amministrazione può rinunciare del tutto ad
acquisire e gestire un sistema informatico reale, sostituendolo con un sistema informatico

Alesssandro Osnaghi, Torino 13 febbraio 2012                                                       1
virtuale e sopportando solo costi opex (spese correnti) invece che costi opex più capex (spese
in conto capitale).

Per accedere a servizi cloud di questa natura è determinante la qualità dei servizi di
connettività offerti sul territorio dagli ISP (Internet Service Provider). Le caratteristiche della
banda necessaria dipendono evidentemente dai modelli di servizio e dalle situazioni
applicative, ma in ogni caso si tratta sempre di banda effettiva da 20 a 100 Mbit/s e oltre. I
servizi di connettività Internet sono quindi un requisito necessario per la diffusione di questo
nuovo paradigma tecnologico che comporta, in linea di principio, anche significativi vantaggi
economici.

Lo studio, condotto congiuntamente dalle Fondazioni Astrid e THINK!, principalmente
rivolto ai decisori politici e agli amministratori, ha affrontato le tematiche fondamentali che
l’affermarsi, sicuramente irreversibile, del nuovo paradigma tecnologico del cloud
computing, pone alle amministrazioni pubbliche, ma anche alle aziende, soprattutto a quelle
medie e piccole, e quindi al sistema Paese. Il cloud computing crea una discontinuità nei
modelli di utilizzo dell’Information Technology, e come tale solleva problemi e incontra
resistenze: lo studio propone soluzioni architetturali, organizzative e operative, che dovranno
essere abilitate con opportuni interventi normativi, finalizzati alla realizzazione di
un’infrastruttura strategica basata sul cloud computing al servizio di utenze pubbliche e
private.

Per quanto riguarda le amministrazioni o le aziende che sono già dotate di data center e di
sistemi informatici interni complessi, il percorso di evoluzione verso la smaterializzazione e
il consolidamento, in sostanza verso la realizzazione di un cloud privato, è sicuramente
complesso, come qualsiasi processo evolutivo verso nuove soluzioni e comporta
esclusivamente problemi di valutazione dei benefici e di ritorno dell’investimento, che anche
grazie al risparmio energetico che si può ottenere liberandosi di sistemi spesso
sovradimensionati, dovrebbe verificarsi nei pochi anni richiesti dall’ammortamento delle
apparecchiature esistenti. Per questa categoria di utenti non esistono particolari vincoli di
sicurezza e di conformità normativa.

Lo studio si è focalizzato sugli aspetti particolarmente critici, che riguardano l’evoluzione dei
sistemi informativi delle piccole amministrazioni e delle PMI verso soluzioni di cloud
pubblico dove i servizi dei Cloud Provider, come detto, sono accessibili via Internet.

L’utilizzo di servizi cloud pubblici presenta difficoltà di natura culturale e psicologica e
anche di natura normativa; le perplessità più rilevanti riguardano la temuta perdita di
controllo sui propri dati, che sono trasferiti nella “nuvola”: si tratta di preoccupazioni legate
alla sicurezza, alla tutela dei dati personali e alle responsabilità giuridiche che le leggi vigenti
attribuiscono ai titolari dei dati.

In questo campo il legislatore ha dettato, ancora di recente, principi generali e regolamenti
applicabili a tutti indistintamente, che provengono da una cultura e da un tempo, gli anni 90,
in cui non esisteva la rete e non s’immaginavano le possibilità attuali. Si tratta di prescrizioni
che riguardano gli adempimenti di sicurezza, inclusa la tutela della privacy, che in futuro sarà
opportuno rendere più “sostenibili”, accettando ragionevoli margini di rischio e considerando
non solo la tipologia del dato, ma anche il suo valore economico. La sicurezza informatica
costituisce un costo importante, che tende a essere indipendente dalla dimensione economica
delle amministrazioni e delle aziende e va comunque sottolineato che in realtà le soluzioni

Alesssandro Osnaghi, Torino 13 febbraio 2012                                                      2
offerte dai Cloud Service Provider sono in generale sicuramente superiori a quelle messe in
atto direttamente dalle organizzazioni utenti.

Il processo legislativo e il consolidamento delle direttive a livello europeo richiederà ancora
tempo. Nel recente documento Cloud computing: indicazioni sull’utilizzo consapevole dei
servizi1 il Garante italiano per la tutela dei dati personali elenca undici argomentati
suggerimenti per gli utilizzatori del cloud in tema di verifiche di sicurezza, livelli di servizio,
clausole contrattuali e necessità di accertare l’affidabilità del provider. È tuttavia facile
prevedere che molte piccole e medie aziende avranno difficoltà nell’implementazione di
queste indicazioni, mancando al loro interno delle competenze e risorse necessarie.

Appare quindi opportuno, se non necessario per rendere possibile l’adozione del cloud
computing, facilitare le scelte delle amministrazioni e delle aziende introducendo un processo
di certificazione dei provider che garantisca gli utenti che i servizi cloud sono conformi alle
esigenze di sicurezza, di privacy, di livelli di servizio, di localizzazione dei dati e di garanzie
di portabilità: esso deve basarsi su clausole contrattuali standard e accertare l’affidabilità del
provider e quant’altro possa assicurare la conformità a norme e raccomandazioni nazionali ed
europee.

Lo studio Astrid-THINK! propone di creare un’infrastruttura virtuale ICT strategica chiamata
“Nuvola Pubblica Certificata” per consentire ai potenziali utenti di utilizzare in tranquillità
servizi di cloud computing pubblico e al Paese di trarne nel medio periodo i benefici
economici e sistemici prevedibili.

Con l’utilizzo di servizi cloud i dati delle amministrazioni, ma anche quelli delle aziende, che
sono sottoposti, nella generalità dei casi, alla normativa italiana ed europea sulla tutela dei
dati personali e sulla sicurezza, escono fisicamente dal perimetro informatico di diretta
responsabilità del titolare, che tuttavia nell’attuale quadro normativo ne mantiene l’intera
responsabilità giuridica.

La catena dei soggetti coinvolti nell’erogazione di un servizio cloud si estende spesso a
livello internazionale, fino a rendere difficile o impossibile la localizzazione dei propri dati.
Un rapporto contrattuale che apparentemente coinvolge solo tre soggetti: il Cloud consumer
(l’amministrazione o l’azienda utilizzatrice), l’Internet Service Provider (ISP) e il fornitore
del servizio cloud, può in realtà coinvolgere una catena difficilmente tracciabile di erogatori
di servizi cloud, di cloud broker e di ISP che operano in contesti giuridici differenti.

A garanzia degli utenti - che nel quadro normativo vigente restano titolari dei dati, con le
conseguenti responsabilità civili e penali anche quando intervengono soggetti terzi su cui non
hanno alcun controllo - il processo di certificazione dovrà essere gestito (in base di regole
tecniche da emanare) da soggetti terzi qualificati e indipendenti che possano certificare i
Provider accertando la loro rispondenza a clausole contrattuali di servizio standard e alla
normativa nazionale ed europea di sicurezza e di tutela della privacy, anche quando si tratti di
servizi offerti da pubbliche amministrazioni. Diventa inoltre necessario individuare altri
soggetti terzi che siano professionalmente qualificati per svolgere le funzioni di auditing.
La Nuvola Pubblica Certificata è definita, in termini di architettura concettuale, come
“l’insieme organizzato di fornitori di servizi cloud (CSP) e di fornitori di servizi di
connettività Internet (ISP) che hanno ottenuto la certificazione di sicurezza e di conformità
alla normativa e ai regolamenti tecnici italiani”.

1
    http://www.garanteprivacy.it/garante/document?ID=1819933

Alesssandro Osnaghi, Torino 13 febbraio 2012                                                     3
La Nuvola Pubblica Certificata può offrire alle amministrazioni e alle aziende servizi che
consentono di assolvere gli adempimenti di legge, ad esempio nel caso dei servizi di disaster
recovery e continuità operativa. Costruendo questa infrastruttura strategica di servizi lo Stato
passa da un ruolo puramente prescrittivo, che stabilisce obblighi e abbandona le
amministrazioni a sé stesse, ad un ruolo di servizio che mette a disposizione gli strumenti per
soddisfare le esigenze di sicurezza del Paese.

La Nuvola Pubblica Certificata è per definizione un’infrastruttura aperta, perché i servizi
sono accessibili via Internet, sia pure utilizzando Internet Service Provider certificati (è
quindi un public cloud) e non si pone alcun vincolo sulla natura giuridica dei provider, o
relativo al contesto giuridico nel quale i provider operano e realizzano i servizi, e neppure
sulla natura pubblica o privata degli utenti. Qualora i Service Provider eroghino servizi a
un’utenza che opera nel contesto giuridico italiano essi devono garantire di essere certificati
secondo la normativa italiana o eventualmente europea vigente. L’esistenza di questa
infrastruttura ICT certificata, in cui i cloud provider, soprattutto se erogano servizi di tipo
IaaS, sono in genere dotati di grandi data center, è funzionale non solo alle esigenze delle
pubbliche amministrazioni, ma anche a quelle delle imprese, grandi, medie e piccole,
anch’esse soggette alla normativa sulla sicurezza e sul trattamento dei dati personali.

Questa impostazione concettuale non impedisce di riservare alcuni servizi cloud certificati a
particolari categorie di utenti (per esempio ai comuni o alle scuole o anche alle sole
pubbliche amministrazioni) realizzando così anche la possibilità di costruire una o più nuvole
di comunità che insistono sulla Nuvola Pubblica Certificata.

La caratterizzazione dei provider può essere diversa in funzione dei modelli di servizio
erogati (IaaS, PssS o SaaS), tuttavia i cloud service provider accessibili via Internet nella
maggior parte dei casi sono operatori internazionali che utilizzano data center consolidati di
grandi dimensioni collocati al di fuori del territorio nazionale. Peraltro anche soggetti
pubblici italiani, soggetti privati a partecipazione pubblica o anche soggetti privati italiani
potrebbero avere interesse a operare come CSP certificati sulla Nuvola Pubblica Certificata.

Nella pubblica amministrazione italiana deve essere avviato un processo di consolidamento
delle decine di data center esistenti, alcuni dei quali gestiti con tecniche obsolete, poco
efficienti e soprattutto costose dal punto di vista energetico. Per questo sarà importante
promuovere un censimento dei data center e trovare forme per incentivare il loro graduale
consolidamento. Quanto poi ai data center che appartengono ad enti locali, che svolgono gli
stessi compiti istituzionali ed erogano gli stessi servizi, si dovrebbe incentivarne la
standardizzazione per favorire un consolidamento anche a livello applicativo SaaS.
Nel censimento dovrebbero rientrare anche i data center dei grandi enti pubblici e delle
grandi imprese a partecipazione pubblica (nazionale e locale) spesso dotati di capacità e
potenza superiore a quella effettivamente utilizzata.

Come tutte le infrastrutture critiche e strategiche la Nuvola Pubblica Certificata dovrà essere
governata da un organismo permanente sia nella fase di realizzazione che nella fase di
gestione per assicurarne la continuità nel tempo.

La Nuvola Pubblica Certificata sarà l’infrastruttura abilitante per i Progetti nazionali a
valenza sistemica, cioè per quei progetti che nascono da obblighi normativi che interessano
tutte le amministrazioni di un certo tipo, o anche tutte le amministrazioni, e che non si

Alesssandro Osnaghi, Torino 13 febbraio 2012                                                  4
possono considerare completati finché tutte le amministrazioni coinvolte non sono in grado di
dispiegare il progetto o erogare in modo permanente il servizio corrispondente.

Oggi le amministrazioni si muovono autonomamente senza azioni e piani coordinati e
producono inevitabilmente risultati incompatibili e non integrabili. Un tipico progetto
nazionale a valenza sistemica è ad esempio un progetto che tenda a dare attuazione, secondo
un piano organizzato, agli articoli del Codice dell’Amministrazione Digitale (CAD) Art. 50-
bis “Continuità operativa” e Art. 51 “Sicurezza dei dati, dei sistemi e delle infrastrutture delle
pubbliche amministrazioni”. Questi articoli prevedono che tutte le amministrazioni realizzino
autonomamente funzionalità di disaster recovery e di continuità operativa, lasciando l’onere
di tutti gli adempimenti previsti sulle singole amministrazioni.

È utile ricordare che il CAD si applica a tutte le amministrazioni locali in particolare anche ai
circa 7500 Comuni che hanno meno di 20.000 abitanti e ai quasi 6000 Comuni che hanno
meno di 5.000 abitanti, si applica ad alcune centinaia di ASL e alle scuole che sono circa
14.000, ecc. Realizzare in tempi pianificati queste prescrizioni in modo che, a una data
predefinita e certa, il sistema informatico dell’amministrazione del Paese nella sua totalità
possa essere considerato in sicurezza è quanto s’intende per progetto di natura sistemica ed è
evidente come la Nuvola Pubblica Certificata possa offrire una soluzione a questi problemi.

Nello studio sono stati approfonditi due casi applicativi che si prestano a soluzioni basate sul
cloud (i sistemi informativi dei Comuni piccoli e medi e il Fascicolo Sanitario Elettronico) e
si sono valuti, con un modello che utilizza dati di costo reali, i possibili vantaggi economici
di queste soluzioni rispetto alle soluzioni convenzionali. Questi casi hanno dimostrato
l’indubbia possibilità di una significativa riduzione dei costi IT, soprattutto nel medio e lungo
periodo: questa riduzione si ha non solo sul fronte dello sviluppo e della manutenzione della
soluzione, ma anche su quello della riduzione delle dotazioni hardware degli utenti e dei
relativi servizi di gestione e manutenzione; inoltre la logica cloud “da uno a molti”, cioè la
possibilità di fornire la stessa soluzione a una molteplicità di utenti fa si che vengano
abbattuti anche i costi di manutenzione e sviluppo della applicazioni.

Alesssandro Osnaghi, Torino 13 febbraio 2012                                                    5
Puoi anche leggere
DIAPOSITIVE SUCCESSIVE ... Annulla