La strategia cloud nazionale si propone di indirizzare l’adozione delle soluzioni cloud della Pubblica Amministrazione, al fine di erogare servizi digitali a cittadini e imprese attraverso infrastrutture digitali sicure, efficienti e affidabili, al contempo in linea con i principi di tutela della privacy e le raccomandazioni delle istituzioni nazionali ed europee.
Un obiettivo nato sulla scia della Strategia industriale europea della Commissione Europea, con il lancio dell’Alleanza per i dati industriali, l’edge e il cloud nei primi sei mesi del 2021, con cui Bruxelles mira a stimolare la fornitura europea di cloud affidabili, che prevede, tra gli obiettivi da raggiungere entro il 2030, un tasso di adozione del 75% di servizi cloud avanzati per le aziende europee.
Indice degli argomenti
La centralità del cloud per l’economia dei dati
Nel nostro Paese, il Ministro per l’Innovazione tecnologica e la Transizione digitale Vittorio Colao sta lavorando proprio in questa direzione: recentemente ha lanciato la Strategia Cloud Italia, definendola come “una casa moderna per i dati degli italiani”, “un risultato bilanciato, orientato a garantire al tempo stesso sicurezza e nuove tecnologie”, in cui migreranno i dati delle pubbliche amministrazioni italiane, per garantire maggiore sicurezza e servizi più efficienti per i cittadini entro il 2025.
È chiaro che, affinché l’economia dei dati diventi un interesse nazionale e paneuropeo, gli Stati sovrani hanno bisogno di una capacità digitale che impedisca loro di dipendere da organizzazioni e operatori stranieri per l’elaborazione dei propri dati. E sono molti i dati di mercato che supportano questa affermazione: secondo KPMG, il mercato europeo del cloud nel 2020 aveva un valore stimato di 53 miliardi di euro e si prevede che salirà tra i 300 e i 500 miliardi di euro entro il 2027-2030.
È quello che chiamiamo Sovereign Cloud; ma, per comprendere meglio il perimetro della discussione, occorre stabilire cosa sia esattamente il Sovereign Cloud: di base riguarda l’economia emergente dei dati e la protezione e l’abilitare il valore dei dati nazionali, aziendali e personali, in risposta alla realtà della crescente importanza della privacy dei dati, a partire dal cittadino.
Significa lavorare per garantire l’autonomia tecnologica del Paese, la sicurezza e il controllo nazionale sui dati. L’architettura abilitante prevede, a seconda della classificazione dei dati, la contribuzione di differenti modelli di cloud, da quello privato, ibrido, gestito in licenza e pubblico.
Un vero e proprio modello multi-cloud, in cui si rende necessario il giusto equilibrio tra capacità di innovare e sicurezza dei dati, autonomia degli sviluppatori e capacità di realizzare applicazioni consistenti ed efficienti, garantendo quei principi di trasparenza, portabilità e interoperabilità in grado di estendere le capacità del cloud nazionale a un contesto europeo di valorizzazione e condivisione dei dati, a beneficio di cittadini e imprese.
La cyber security nell’attuale ecosistema digitale distribuito
Dobbiamo però tenere in considerazione che l’adozione di soluzioni cloud, unita a modelli di lavoro sempre più distribuiti, sta portando alla creazione di un ecosistema digitale estremamente distribuito e complesso, con un aumento degli attacchi cyber.
Come evidenziato nel nostro recente “Global Security Insights Report 2021”, assistiamo infatti a una sempre maggiore sofisticazione degli attacchi stessi, che mirano sia a sottrarre i dati delle organizzazioni sia ad alterarne l’integrità, con una media per l’Italia di 2,4 attacchi gravi all’anno per organizzazione.
È in questo scenario che si rende necessario per le organizzazioni rivedere completamente l’approccio alla cyber security, poiché i sistemi di sicurezza legacy non sono più sufficienti, il panorama delle minacce è completamente cambiato e il nuovo modo di lavorare impone una protezione che si estenda oltre gli endpoint ai carichi di lavoro per proteggere meglio dati e applicazioni.
Il proliferare delle informazioni e la quantità di applicazioni a cui abbiamo accesso ogni giorno impongono, infatti, una nuova strategia per la sicurezza: non esistendo più un perimetro sicuro, e non esistendo più dispositivi sicuri, occorre un vero e proprio cambiamento di paradigma, passando da una sicurezza pensata ancora per modelli in cui i confini digitali erano entro le mura dei data center dell’organizzazione, a una in cui le infrastrutture digitali vengono trasformate da punti di vulnerabilità a punti di controllo, riuscendo a comprendere, attraverso l’intelligenza collettiva dei punti di controllo stessi, la postura di sicurezza dei dati in modo continuativo e ubiquo.
Grazie a un modello zero-trust, le aziende possono adottare un approccio alla sicurezza IT totalmente rinnovato, che presuppone l’assenza di un perimetro di rete affidabile e in base al quale ogni transazione di rete deve essere autenticata prima che possa concretizzarsi. Il modello zero-trust si basa sul principio “non fidarsi mai, verificare sempre” e fa affidamento su altre metodologie di sicurezza della rete, quali la segmentazione della rete e controlli di accesso rigorosi. Una rete zero-trust definisce una “superficie protetta” che include dati, risorse, applicazioni e servizi critici.
Conclusioni
In definitiva, molte soluzioni di sicurezza utilizzate oggi sono state costruite per uno scenario diverso da quello attuale. Le aziende digitali altamente distribuite non possono semplicemente prendere i vecchi strumenti e processi di sicurezza, applicarli alle nuove realtà di oggi e aspettarsi di essere protette.
È il momento per cambiare, e il nuovo assetto istituzionale ci sta dando l’opportunità e la spinta necessaria per farlo: un’occasione da cogliere, per imprimere una trasformazione significativa alle aziende e alla digitalizzazione del Paese.
