Le aziende che operano a livello globale e i dati che raccolgono e con cui operano ogni giorno – generalmente superano i tradizionali confini geografici fisici. E, nonostante dispongano di infrastrutture cloud estese in tutto il mondo, leggi e normative locali impongono ancora forti restrizioni sulle modalità di archiviazione e accesso alle informazioni, anche se si trovano come detto nella nuvola.
Indice degli argomenti
Sovranità dei dati e normativa sulla data protection
La sovranità dei dati prevede la necessità di considerare le rispettive leggi locali della regione o del paese in cui vengono raccolti. Sebbene sia un tema cresciuto d’importanza grazie a normative internazionali recenti come il GDPR, le aziende avevano già iniziato a valutare diverse opzioni e modalità di archiviazione e utilizzo dei dati.
Negli ultimi anni, tuttavia, la questione è diventata più complessa a causa dell’aumento di norme e requisiti di compliance, oltre a macro-tendenze, ad esempio, la costante migrazione al cloud.
Basti pensare alle pubbliche amministrazioni italiane che da quest’anno potranno richiedere i fondi per migrare dati e servizi e iniziare il processo che dovrà portare al raggiungimento dell’obiettivo fissato dalla strategia Cloud Italia per consentire che, entro il 2026, il 75% dei servizi pubblici digitali siano erogati su infrastrutture cloud.
Alla stessa data, il 100% dei servizi e dati strategici della PA dovranno essere ospitati su infrastrutture più sicure, che consentano l’autonomia strategica e decisionale per il controllo dei dati e la sovranità digitale.
Le aziende, quindi, non solo devono pensare a dove siano archiviati i loro dati, ma necessitano di un modo semplice per gestirne l’accesso su base regionale ed estrarre rapidamente i log di audit per dimostrare la loro conformità.
Un mondo più connesso, ma più distribuito
In passato, quando il mondo era esclusivamente fisico queste attività erano decisamente più semplici. Si potevano avere più operazioni in diversi paesi, ma per ognuna era necessario creare una nuova infrastruttura on-premise – con i dati isolati nella sede del paese in cui si operava.
Con gli sforzi di modernizzazione e il passaggio a soluzioni SaaS cloud-native, le operazioni sono diventate più complesse. Si potrebbe disporre di ambienti e infrastrutture Enterprise in cui sono archiviati dati, comprese chiavi e altre importanti credenziali.
Oggi, invece, le organizzazioni devono collaborare con vendor SaaS e cloud provider per stabilire quali dati si stanno archiviando e dove, oltre a determinare chi possa accedervi.
Inoltre, come già anticipato, oggi sono in vigore severe norme sulla protezione dei dati da rispettare. Il GDPR, adottata nel 2016, è la più importante e ha ispirato diverse legislazioni correlate in altri Paesi, come il California Consumer Privacy Act (CCPA).
Con l’introduzione di proprie normative da parte dei diversi stati, diventa sempre più impegnativo garantire e, soprattutto, dimostrare la conformità a ogni legge locale.
Secondo i nuovi dati diffusi da AtlasVPN, nel primo semestre del 2023 in tutta Europa sono state emesse sanzioni per circa 1,6 miliardi di euro, il dato più alto dal 2018 a oggi. A gennaio 2023 sono state emesse multe per 369,37 milioni di euro, ma è il mese di maggio che ha visto il valore più elevato, con 1,21 miliardi di euro.
Inoltre, le vicende geopolitiche hanno portato la sovranità dei dati in primo piano negli elenchi delle priorità delle aziende, in quanto le nuove sanzioni impongono di interrompere rapidamente attività ed elaborazione dei dati in un Paese in cui avevano operazioni o clienti in precedenza.
Prima poteva essere semplice come chiudere una filiale regionale, ma oggi una banca deve pensare a tutti i clienti di quell’area che utilizzano l’applicazione e ai dipendenti che possono accedere alle risorse aziendali. Come revocare rapidamente l’accesso in caso di necessità e dimostrare che non si opera più in aree sottoposte a sanzioni?
La sovranità dei dati è un aspetto critico da tenere in considerazione, soprattutto se un’azienda si trova nella condizione di: ampliare le attività in un nuovo Paese; fondersi o acquisire un’azienda operante in una nuova regione; intraprendere iniziative di trasformazione digitale che determinano il passaggio da un’infrastruttura on-premise a una in cloud (o a più cloud) o essere soggetta a sanzioni geopolitiche che impongono di interrompere le operazioni in un determinato Paese o regione.
Criteri di accesso granulari
La principale sfida per le aziende che operano in più Paesi è di bilanciare i requisiti di sovranità dei dati con la natura delle loro attività, in cui spesso vengono utilizzate soluzioni SaaS centralizzate – per operazioni come l’archiviazione di secret, credenziali e chiavi – che contribuiscono ad aumentare l’efficienza operativa dei team di sicurezza, ma richiedono il rispetto delle differenti normative in vigore.
Ad esempio, un’azienda che operi in tutta Europa, Francia e Germania incluse, utilizza un vault centralizzato per proteggere i propri secret (chiavi, credenziali e altro) con identità umane e macchine che devono accedere ai dati presenti nell’infrastruttura specifica di ogni Paese utilizzando tali secret. Bisogna assicurarsi che le chiavi francesi (e i dati a cui possono accedere) non vengano concesse agli account localizzati in Germania, o viceversa, per rispettare le normative sulla sovranità dei dati.
Quando si adotta già un approccio moderno di gestione centralizzata dei secret e degli accessi di identità non umane, è opportuno affidarsi al controllo granulare degli accessi ai secret.
In modo simile al controllo degli accessi basato su ruoli, è possibile impostare criteri di accesso basati sulla posizione che garantiscano l’accesso ai dati solo a chi ne ha bisogno, in base alle leggi e ai regolamenti della regione.
In questo modo si possono soddisfare i requisiti di conformità e beneficiare dei vantaggi in termini di efficienza derivanti dall’utilizzo di una soluzione centralizzata che garantisce la visibilità dei secret in tutti gli ambienti.
