SOLUZIONI

Shared Security Responsibility Model per il cloud computing: punti di forza e problematiche



Indirizzo copiato

La condivisione delle soluzioni e degli strumenti di cyber security rappresenta un vantaggio per l’organizzazione che adotta il cloud computing, ma occorre assegnare le responsabilità tra provider e client. Ecco come farlo seguendo le regole dello Shared Security Responsibility Model (SSRM)

Pubblicato il 21 giu 2024

Vincenzo Calabrò

Information Security & Digital Forensics Analyst and Trainer



Shared Security Responsibility Model per il cloud computing

Cloud computing e cyber security sono i pilastri su cui si fonda la digital transformation in atto. Quasi tutte le organizzazioni pubbliche e private hanno adottato il cloud computing come principale processo per la transizione digitale.

Spesso ciò è avvenuto perché lo prevede una normativa, oppure per fruire di un determinato finanziamento o, peggio ancora, per inseguire una tendenza tecnologica del momento; mentre pochi hanno concretamente effettuato questa scelta tenendo in considerazione le peculiarità e i rischi che ciò potrebbe comportare.

In questo articolo ci concentriamo sul significato di Shared Security Responsibility Model (SSRM) per comprendere quali possano essere gli adempimenti e le responsabilità che rimangono in capo ai soggetti coinvolti.

Quali sono i vantaggi del cloud computing

La principale innovazione introdotta dal modello di deployment basato sul cloud computing è sicuramente la fornitura di risorse informatiche su Internet per ottenere risparmi sui costi, scalabilità, prestazioni elevate, economie di scala e altro ancora.

Il cloud computing è un valido strumento nel processo di innovazione, in grado di svolgere un ruolo chiave come abilitatore per il cambiamento digitale. Elenchiamo brevemente i benefici che può offrire alle organizzazioni che lo adottano:

  1. Agibilità e Flessibilità: Il cloud rende l’organizzazione aperta e scalabile rispetto ai cambiamenti del mercato e alle future opportunità di business. Il cloud è considerato un ambiente privilegiato per l’utilizzo di strumenti e metodologie Agile e DevOps.
  2. Riduzione del Time-to-Market: Con l’adozione del cloud, l’IT non deve preoccuparsi della gestione dell’infrastruttura. Inoltre, la continua evoluzione dei provider consente di stare al passo con il progresso tecnologico.
  3. Revisione dei Costi: L’uso del cloud consente di ridurre i costi legati alla gestione dell’infrastruttura fisica e del personale dedicato, nonché i potenziali costi dovuti a interruzioni delle attività aziendali. Ciò si traduce in una maggiore disponibilità di risorse e più sostenibilità economica a lungo termine.
  4. Sicurezza e Affidabilità: Il cloud rappresenta un modello di deployment più snello, basato sul servizio, e riduce il rischio di sovra-allocazione delle risorse. La sua affidabilità e sicurezza è garantita dal fornitore stesso che ha tutto l’interesse di mantenere un alto livello di servizio.

Le risorse offerte dal cloud computing

Molte realtà hanno effettuato la transizione dei sistemi on-premise verso il cloud senza capire esattamente quali risorse IT venissero fornite dal provider e quali dall’organizzazione stessa.

Questo aspetto, che per molti potrebbe apparire solo un cavillo tecnico, ha importanti riflessi giuridici perché, da un lato, definisce il confine tra le competenze e le responsabilità che rimangono in capo all’organizzazione e quelle delegate al cloud provider e, dall’altro, evidenzia gli adempimenti tecnici (connessi principalmente a fattori relativi alla sicurezza) di competenza delle parti coinvolte.

Occorre tenere bene a mente che il cloud computing si basa, solitamente, su un contratto di servizio tra uno o più operatori di servizi cloud e l’organizzazione cliente.

Come si può evincere dal grafico, un elemento caratteristico del cloud computing, rispetto alle configurazioni on-premise, è la separazione tra le risorse e le funzioni che rimangono in capo all’organizzazione cliente e quelle del cloud provider.

Per questo è importante comprendere e definire contrattualmente quali risorse e quali servizi offre il cloud provider, perché tutto il resto rimane in capo al cliente, soprattutto se il cliente deve darne conto ad eventuali soggetti terzi.

Per esempio: il cloud provider può offrire il servizio di file-sharing, ma non gestire le policy di accesso (authentication, authorization, accounting). Di conseguenza, il cloud provider non risponderà in caso di incidente legato ad un accesso non autorizzato connesso a credenziali deboli o utilizzo di permessi troppo elevati.

Ancora oggi, i contratti di fornitura sono lacunosi da questo punto di vista e ciò rappresenta la principale causa di contenzioso avente ad oggetto i servizi di cloud computing. Infatti, molti incidenti sul cloud si sviluppano in questa “zona grigia”, in cui non è chiaro “chi fa che cosa?”, che rappresenta il punto debole sfruttato dagli attaccanti.

La sicurezza condivisa del cloud computing

La sicurezza e l’affidabilità sono i principali fattori abilitanti su cui si sono basate le campagne di sensibilizzazione rivolte ai Chief Information Officer dell’organizzazioni potenzialmente interessate alle tecnologie offerta dal cloud computing.

La sicurezza del cloud è garantita da una serie di strumenti e modelli gestionali, ormai noti, che riescono a ridurre in maniera significativa il rischio cyber e, di conseguenza, a migliorare le metriche di confidenzialità, integrità, disponibilità e resilienza dei sistemi IT.

È pacifico che le configurazioni cloud possono accogliere delle vulnerabilità ed essere esposte alla minaccia cyber, alcune di queste sono comuni con i sistemi on-premise, altre invece sono specifiche di questo ambiente.

La condivisione delle soluzioni e degli strumenti di cyber security rappresenta un vantaggio per l’organizzazione client, ma, anche in questo caso, occorre assegnare le responsabilità tra provider e client.

A riguardo, poiché non è possibile definire una linea di demarcazione netta di alcune funzioni e responsabilità della cyber security, è stato introdotto il concetto innovativo dello Shared Security Responsibility Model (SSRM).

Il modello chiarisce sostanzialmente che:

  1. il provider è responsabile della sicurezza dell’ambiente cloud, gestendo le infrastrutture fisiche come server, rete, data center e framework in cui gestire gli oggetti o i dati del cliente;
  2. mentre il cliente, in qualità di utente, si occupa della sicurezza dei propri oggetti, proteggendo i dati, le configurazioni di sicurezza delle applicazioni e il controllo degli accessi.

La suddivisione dei compiti assicura che nessun aspetto della sicurezza sia trascurato.

Un metodo per assegnare le responsabilità in questo modello gestionale può essere quello di sfruttare le cd. matrici di responsabilità condivisa, uno strumento per gestire la sicurezza dei servizi cloud in grado di delineare con precisione i compiti e le responsabilità di ogni attore e, al contempo, migliorare il coordinamento e l’efficacia delle strategie di sicurezza.

Lo SSRM consente di identificare ruoli distinti e separati nella gestione della sicurezza per il fornitore del servizio e per l’utente, in modo da garantire una copertura efficace di tutte le aree di sicurezza, una riduzione dei rischi e il miglioramento della protezione complessiva.

La gestione trasparente e condivisa degli ambiti e delle responsabilità costituisce uno strumento di governance della sicurezza attraverso una visione comune e condivisa di accountability per garantire un ambiente cloud sicuro e ben gestito.

Conclusione

Il cloud computing è indubbiamente una delle risorse indispensabili per lo sviluppo delle soluzioni IT, pertanto è necessario garantirne la sicurezza.

In tal senso, è indispensabile:

  1. delineare i confini, i ruoli e le responsabilità dei vari attori (provider e clienti);
  2. sfruttare il modello di responsabilità condivisa per migliorare la protezione dei dati e delle infrastrutture digitali;
  3. realizzare una valutazione dei rischi insieme al cloud provider;
  4. mantenere il controllo e il monitoraggio da parte del cliente.

La cooperazione tra provider e utenti non solo rafforza la resilienza contro le minacce cibernetiche, ma promuove una gestione più efficiente e trasparente delle risorse.

Tutto ciò che non è definito in maniera chiara nel contratto di fornitura rimane a carico del cliente dei servizi cloud e, in caso di incidente dovuto ad aspetti che non rientrano nel contratto, dovrà rispondere anche nei confronti delle terze parti o degli stakeholders.

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 5