Responsabilità Condivisa della Sicurezza: domande e risposte
Nell'era digitale, la sicurezza dei dati nel cloud è una priorità assoluta, specialmente per la Pubblica Amministrazione. Polo Strategico Nazionale adotta il modello di responsabilità condivisa per la sicurezza (Shared Security Responsibility Model - SSRM), un framework essenziale che delinea chiaramente le responsabilità tra il provider di servizi cloud e l'utente finale.
Chi è responsabile della sicurezza nel cloud?
Nel SSRM, Polo Strategico Nazionale è responsabile della sicurezza "del" cloud, gestendo le infrastrutture fisiche come server, rete e Data Center. D'altra parte, la Pubblica Amministrazione, come utente, si occupa della sicurezza "nel" cloud, che include la protezione dei dati, le configurazioni di sicurezza delle applicazioni e il controllo degli accessi. Questa divisione di compiti assicura che nessun aspetto della sicurezza sia trascurato.
L'approccio "Shared By Default" implica una trasparenza e coordinamento continuo tra le parti, garantendo che tutti i livelli di sicurezza siano compresi e attuati efficacemente. Questo modello di collaborazione non solo risponde alle esigenze immediate di governance della sicurezza in contesti complessi, ma pone anche le basi per una resilienza digitale a lungo termine.
Cosa sono le Matrici di Responsabilità?
Le Matrici di Responsabilità Condivisa sono strumenti essenziali nella gestione della sicurezza dei servizi cloud, specialmente tra enti come le Amministrazioni pubbliche e fornitori come Polo Strategico Nazionale. Queste Matrici delineano con precisione i compiti e le responsabilità di ogni parte, migliorando la coordinazione e l'efficacia nell'attuazione delle strategie di sicurezza.
Ogni Matrice di Responsabilità Condivisa deriva da un'analisi dettagliata, verificata tramite audit interni e esterni. Utilizza il Questionario CAIQ, che dettaglia specificamente le misure di sicurezza adottate da PSN come provider e le direttive di sicurezza fornite alla Pubblica Amministrazione per gestire i propri ambiti di competenza. Inoltre, i servizi principali offerti nel catalogo sono stati organizzati in cluster per migliorare la governance del servizio, basandosi sulla similitudine dei loro modelli di erogazione.
Sono una guida chiara per la governance della sicurezza e promuovono un'azione coordinata e una responsabilità reciproca, garantendo un ambiente cloud sicuro e ben gestito.
Quali principi definiscono l’approccio Shared By Default?
L'approccio "Shared By Default" si fonda su quattro principi fondamentali per una gestione ottimale della sicurezza nei servizi cloud:
Quando le Amministrazioni possono ritenere i loro dati al sicuro?
Le Amministrazioni possono considerare i loro dati al sicuro quando sono protetti da misure di sicurezza fisica e cibernetica ben definite e rigorosamente applicate. Polo Strategico Nazionale garantisce la protezione fisica attraverso Data Center avanzati, equipaggiati con sistemi antintrusione, sensori di protezione perimetrale e videosorveglianza, accessibili solo a personale autorizzato.
A livello cibernetico, la sicurezza è rafforzata mediante crittografia avanzata, la gestione proattiva tramite Security Operation Center (SOC) e Computer Emergency Response Team (CERT), e l'osservanza di standard come ISO/IEC 27001 e ISO 22301. Inoltre, l'approccio "Shared By Default" e lo Shared Security Responsibility Model promuovono una responsabilità condivisa e trasparente tra il provider e l'utente finale, assicurando una gestione efficace e coordinata della sicurezza dei dati nel cloud.
Perché si parla di Shared Responsibility?
Lo si fa perché si riconosce che sia il fornitore del servizio (come Polo Strategico Nazionale) sia l'utente finale (come la Pubblica Amministrazione) hanno ruoli essenziali nella gestione della sicurezza. Questo approccio assicura che tutte le aree di sicurezza siano coperte in modo efficace, riducendo i rischi e migliorando la protezione complessiva. Per noi la sicurezza è una priorità assoluta, è integrata fin dalle fondamenta, assicurando che ogni aspetto della protezione dei dati sia attentamente curato e continuamente migliorato.
Ogni giorno, per tutta la cloud journey.
Nella versione completa di In Cloud potrai approfondire: