Dalla Protezione alla Sovranità dei dati: come si governa il cloud?

“Dalla Protezione alla Sovranità dei dati: come si governa il cloud?” è il titolo della tavola rotonda organizzata da Thales in collaborazione con la rivista Office Automation. Multinazionale francese attiva in diverse aree, che vanno dall’aerospaziale all’avionica, al settore militare & defence, da alcuni anni Thales sta investendo per rafforzare la propria presenza in ambito cyber security, focalizzando due pillar in particolare: Identity & Access Management e Data Protection, quest’ultimo particolarmente legato alla crittografia, disciplina fondamentale in ambito militare e in molti altri contesti. L’azienda, da sempre, ha aiutato i propri clienti a valorizzare la crittografia, in modalità tradizionale, on premise. Da alcuni anni, tuttavia, l’avvento del cloud ha imposto una nuova sfida: quella di traslare la capacità di protezione del dato e delle chiavi cifranti, proprie della crittografia, anche nella ‘nuvola’.

Dal momento che il tema della protezione dei dati in cloud è di estrema attualità, Thales ha deciso di confrontarsi sull’argomento con alcune aziende clienti. Durante l’incontro, si è anche affrontato il tema delle ripercussioni derivate dalla sentenza Schrems II con cui, il 16 luglio 2020 la Corte di Giustizia Europea ha invalidato la decisione di adeguatezza del Privacy Shield (lo scudo UE-USA per la privacy, per gli scambi transatlantici di dati personali a scopo commerciale tra Unione Europea e Stati Uniti d’America). Decisione che ha avuto importanti conseguenze per le aziende, introducendo anche dubbi in materia normativa e in campo operativo, come nel caso dell’uso delle clausole contrattuali standard.

Qui di seguito le domande che hanno animato la Tavola Rotonda.

1. A che punto siete con l’adozione in cloud e come la pandemia ha influenzato le vostre strategie su questo tema?
2. Quale sarà l’impatto nella vostra organizzazione della sentenza Schrems II sulla sovranità dei dati?
3. Quali sono, secondo voi, le sfide relative alla sicurezza in ambienti cloud e multicloud e alla protezione dei dati sensibili? Cosa avete fatto e cosa volete fare?

Alessandro Marzi, Chief Information Security Officer, A2A Group

La gestione della pandemia e della situazione di emergenza ci ha portato alla necessità di remotizzare, in tempi rapidi, una parte prevalente della forza lavoro. Questo cambio di paradigma ha rappresentato un aspetto critico, non solo da un punto di vista personale-lavorativo, ma anche nel modo in cui sono stati erogati e garantiti i servizi e i processi IT, sia quelli operativi di base sia di supporto al business, che dovevano garantire, inoltre, il desiderato livello di sicurezza.

Il piano di azioni integrate, indirizzate ai nostri dipendenti, che era già in corso, è stato accelerato e, in aggiunta ai cosiddetti ‘digitalizzati’, già in possesso di strumenti e competenze digitali per lavorare da remoto in modo sicuro, si è esteso il lavoro da remoto a tutto il resto della popolazione che non aveva stretta necessità di lavoro in presenza, inclusi i fornitori. Per garantire flessibilità e sicurezza, oltre agli strumenti di lavoro remoto sicuro già integrati sulle postazioni di lavoro, si è fatto anche uso di soluzioni di virtualizzazione della postazione di lavoro.
Riguardo all’adozione del cloud, in realtà, ci siamo mossi prima della pandemia, anche se l’emergenza ha accelerato il nostro interesse verso progetti legati a IT e sicurezza. Abbiamo potenziato l’uso del multicloud e degli strumenti tecnologici e di network per unire aree eterogenee tra loro. Questo ha facilitato la gestione delle attività quotidiane, soprattutto per i colleghi attivi in area IT. Parallelamente è in atto un programma per il rafforzamento della sicurezza che valorizza il cloud, pensiamo a un layer di security unificato che possa garantire misure sofisticate e con il massimo grado di copertura per tutto il gruppo.

L’esigenza di avere un approccio unitario e normalizzato alla security è stata sollecitata e accelerata anche dalla sentenza Schrems II. Anche per questo abbiamo attuato una revisione delle architetture di sicurezza, con l’obiettivo di poter assicurare un approccio unitario della protezione delle informazioni ovunque esse si possano trovare e, in particolare, nel cloud.

A questo scopo, il sistema di controlli per la sicurezza che abbiamo creato è stato progettato in maniera integrata, considerando sia le necessità di gestione del rischio sia quelle della compliance normativa: proprio perché ricorrere al cloud può essere vantaggioso, è necessario farlo in maniera sicura, seguendo gli standard di settore, e secondo i dettami normativi europei e nazionali. In questo senso, l’impatto della sentenza Schrems II ha riguardato non soltanto gli aspetti tecnologici, ma le clausole contrattuali, ovvero quelle inerenti la privacy. Lavoro che, tra l’altro, ha riguardato anche i servizi e le piattaforme deputate alla sicurezza basati sul cloud.

Stefano Venturini, Chief Information Security Officer di Cattolica Assicurazioni

Cattolica, in rapporto alla pandemia, si è fatta trovare pronta. Da tempo la nostra azienda si era rivolta al remote working, di conseguenza il lockdown non ci ha richiesto interventi d’urgenza sul versante del cloud e della office collaboration. È evidente, però, che la completa remotizzazione apre a scenari di rischio in precedenza non previsti. Di conseguenza abbiamo dovuto innalzare le misure di sicurezza e potenziare i monitoraggi, soprattutto a fronte delle minacce non nuove ma più incisive e diffuse che si sono concretizzate nel periodo pandemico. Abbiamo puntato molto anche sulla formazione del personale, perché diventasse più consapevole che lavorare da remoto richieda ancora maggiore attenzione alle minacce informatiche.

Avendo già intrapreso un percorso di smart working, avevamo introdotto strumenti di telemetria su tutti i dispositivi esterni per proteggere le nostre applicazioni industriali. Con l’aumento del remote working abbiamo irrobustito gli strumenti di controllo. Riguardo alla parte cloud più tipica, quella dell’infrastruttura a servizio, Cattolica si sta muovendo con cautela. La strategia porterà progressivamente a spostare il carico di lavoro dall’on premise al cloud, prestando attenzione alle normative, alla privacy, alla soddisfazione delle richieste di business, arrivando al procurement, al risk management, alla security per valutare i rischi a cui si va incontro, da gestire correttamente nei processi interni dell’azienda. Tutto questo può sembrare rallentante nell’adozione del cloud, ma garantisce, almeno in parte, di mantenere un buon equilibrio tra le azioni intraprese e i controlli e le misure di sicurezza per contenere il rischio entro valori accettabili.

Un’altra sfaccettatura del cloud è costituita dai software a servizio, un trend in ascesa per la loro facilità di attivazione. Anche in questo modello bisogna trasferire quanto è Capex in Opex, ma questo è un aspetto puramente contabile. L’architettura complessiva, intanto, si sta arricchendo di elementi che risiedono in cloud e interagiscono con l’infrastruttura on premise. Importante, prima di procedere a un acquisto, è fare un’attenta valutazione del rischio e delle possibilità d’integrazione con i sistemi informatici di cui si dispone.

Per Cattolica, la sfida principale del cloud è far crescere le competenze. Prima ancora di essere assistiti dai fornitori di soluzioni cloud, è necessario che l’azienda sia consapevole e preparata per progettare e gestire la migrazione al cloud. Soprattutto quando si opta per una scelta di multicloud, è importante disporre di uno spettro di competenze sufficientemente ampio per coprire tutte le particolarità che ogni cloud provider rende disponibili, identificando processi e strumenti che consentano di adottare una governance comune per tutti gli ambienti.

È anche importante considerare la governance dell’infrastruttura, che da on premise deve evolvere verso il cloud. Può essere strategico puntare su un approccio di microsegmentazione, che garantisca un maggior controllo rispetto alla segmentazione tradizionale. Un altro elemento fondamentale è quello del monitoraggio per la difesa proattiva, per avere un’adeguata visibilità sulla sicurezza.

La sentenza Schrems II ha aperto un dibattito su problemi che tutti ci troviamo ad affrontare. Forse arriva un po’ in ritardo, quando già l’ecosistema è evoluto e si è aperto verso soluzioni gestite esternamente. Rientrare o mettere a norma un ecosistema è un’operazione complessa, sia dal punto di vista contrattuale, sia da quello tecnologico. La funzione Security collabora efficacemente con la funzione che si occupa della componente contrattualistica: i principali contratti sono ripresi e adeguati di frequente rispetto all’evoluzione normativa di settore sulle misure di sicurezza.

Nicola Vanin, Chief Information Security Officer, Cedacri Group

Il percorso di adozione del cloud in Cedacri Group è iniziato con l’implementazione di procedure, policy, best practice e strumenti che rappresentano nel loro insieme un solido framework per affrontare in sicurezza tutte le sfide e le opportunità del cloud computing. Questo modello di trasformazione al cloud ha permesso a Cedacri SpA oltre a un buon equilibrio tra costi e benefici aziendali, una copertura olistica a servizi, dati, sicurezza, conformità, fornitori, nonché un meccanismo per mitigare il rischio a un livello gestibile. Infine, una solida rubrica decisionale per bilanciare priorità in conflitto, nonché un meccanismo configurabile per livelli pragmatici di automazione e orchestrazione tra tecnologia e funzioni aziendali.

In Cedacri abbiamo adottato un approccio cloud ready che ci ha permesso di rispondere ai cambiamenti improvvisi che abbiamo sperimentato nel 2020 con grande agilità. Siamo stati in grado di aumentare o diminuire la capacità IT in modo rapido e semplice e siamo stati meglio posizionati per fornire ai dipendenti flessibilità, opportunità di lavoro sicuro e a distanza. Inoltre, ma non meno importante, siamo stati in una posizione migliore rispetto alla media di mercato per lanciare applicazioni moderne per interagire con le nostre banche clienti e sfruttare nuove opportunità, anche nei momenti più difficili della pandemia Covid.

Esistono diverse verità ampiamente accettate sui servizi cloud con vari livelli di veridicità: sono più economici, più flessibili e possono essere implementati più rapidamente. Forse nessuno è più pericoloso, tuttavia, del presupposto che il cloud sia, per natura, più sicuro. Per questo motivo Cedacri ha scelto un approccio zero-trust, adottato per proteggere i propri ambienti IT e mitigare il rischio informatico. Le tradizionali strategie di sicurezza incentrate sul perimetro non sono riuscite a fornire la visibilità, il controllo e la protezione adeguati del traffico di utenti e applicazioni.

Aver sposato un framework zero-trust, applicando il principio ‘mai fidarsi, verifica sempre’ a tutte le entità – utenti, dispositivi, applicazioni, pacchetti – indipendentemente da cosa siano e dalla loro posizione, rispetto ai limiti della rete aziendale ci sta permettendo di sfruttare i servizi cloud con la corretta attenzione agli aspetti di cyber sicurezza e data protection.

Schrems II ha rimosso o aumentato l’incertezza sugli strumenti legali più diffusi. Le aziende europee continuano ad affrontare incertezze che potrebbero minare le loro operazioni e aumentare significativamente il costo del mantenimento della conformità alle restrizioni che continuano a cambiare. Le migliaia di aziende che hanno utilizzato il Privacy Shield stanno senza dubbio ancora cercando di capire come adeguarsi per continuare a trasferire dati tra Stati Uniti e UE. Cedacri così come la maggior parte delle organizzazioni dell’UE si rivolge o si appoggia maggiormente alle clausole contrattuali standard (SCC), ma queste comportano anche incertezze e costi aggiuntivi.
È necessario quanto prima l’intervento dei leader politici chiave degli Stati Uniti e dell’UE per risolvere il problema di fondo relativo all’accesso dei governi ai dati, che si spera sia sostenibile a lungo termine.

Rodolfo Bini, Chief Security Officer di BT Italia

L’adozione del cloud nella nostra azienda è in fase avanzata, la pandemia ha di fatto solo velocizzato un processo già in corso. Le caratteristiche di BT sono simili a quelle del nostro cliente tipo, di conseguenza abbiamo integrato internamente approcci e soluzioni che già proponiamo sul mercato. Oggi BT è attiva in 180 Paesi, con quasi 100 mila dipendenti. Quando è iniziato il lockdown, uno dei principali problemi da risolvere è stato quello di rendere possibile il lavoro da remoto worldwide, ricomprendendo, per esempio, i circa 20 mila consulenti di base in India, tutto ciò ponendo estrema attenzione alla sicurezza e integrità delle informazioni e dei dati trattati. La sicurezza riveste un ruolo centrale, che rivoluziona il concetto stesso di ‘perimetro’ di difesa. Un tempo il perimetro era un’area ristretta e ben definita, che seguiva la metafora del castello: dipendenti in ufficio, controllo accessi, locali protetti, CED di proprietà, firewall, LAN protetta e monitorata… Oggi il ‘campo di battaglia’ è un’area più vasta e soprattutto meno definita: applicazioni, utenti, informazioni, reti sono o possono essere delocalizzati e virtualizzati, di conseguenza l’approccio alla sicurezza deve essere flessibile e modulare nonché maggiormente incentrato sulla protezione del dato, ovunque esso si trovi. Quando parliamo di sicurezza non ci riferiamo a un unico aspetto quale policy, monitoraggio, governance, gestione incidenti, accesso, formazione…ma, piuttosto, all’orchestrazione di tutti questi elementi insieme, prestando molta attenzione al tipo di rischio in gioco.

Non tutti i dati sono uguali, così come non lo sono tutti i servizi e i contesti, di conseguenza è necessario adottare misure adeguate alla singola tipologia di rischio, introducendo un corretto approccio ‘risk-based’ e strumenti di analisi predittiva di ultima generazione a protezione di informazioni ed endpoint ricordando che la responsabilità, all’interno di un processo, anche virtualizzato, non è mai delegata al fornitore di servizi in cloud, ma resta dell’operatore, del produttore del dato.

In BT favoriamo un approccio ‘end to end’ su tutto il ciclo di vita dell’informazione. L’utilizzatore è il primo “protettore” del dato, non a caso parliamo di ‘human firewall’ per sottolineare l’importanza centrale che l’essere umano ha nei processi di sicurezza. Ogni individuo può costituire la prima soglia di difesa, ma anche il primo elemento di debolezza. Per questo, accanto all’uso di strumenti di monitoraggio, diamo molta enfasi alla formazione, alla comunicazione e all’addestramento del personale.

Come multinazionale, ci siamo trovati ad affrontare il tema della sovranità dei dati e le implicazioni derivanti dalla sentenza Schrems II. È una sentenza che va letta in Italia anche alla luce dell’odierno e rinnovato contesto normativo di Sicurezza Nazionale (Direttiva NIS e NIS II, Perimetro Nazionale di Sicurezza Cibernetica, nuova Agenzia per la Cybersecurity…). Mentre in Europa il GDPR è un framewok comune di riferimento sulla privacy, esistono Paesi che non hanno regolamenti di questo tipo e consentono un accesso ai dati legittimo ma maggiormente intrusivo, potenzialmente in contrasto con il GDPR stesso.

La sentenza Schrems II ci sta portando a rafforzare le relazioni e gli accordi con i fornitori basati all’estero, soprattutto quelli più grandi, e a ridefinire clausole di sicurezza e controlli. Forse la Schrems II sposta un po’ troppo la responsabilità sul fornitore, ma l’aspetto positivo è dato dai citati controlli aggiuntivi e dalla maggiore efficacia degli stessi, nonché dal fatto che le parti devono valutare la legislazione e le prassi del Paese ospitante in termini di conformità al GDPR.

Davide Barbarini, Chief Information Security Officer di Edenred

Edenred è particolarmente conosciuta per ticket restaurant, prodotto di punta oggi utilizzato, nel 95% dei casi, in formato digitale. L’area dei servizi di Welfare aziendale si è sviluppata molto; in questo settore Edenred propone una piattaforma che è cresciuta notevolmente, grazie all’integrazione di partner importanti. Avevamo, da tempo, in roadmap, lo spostamento dall’on premise al cloud, la pandemia ha ulteriormente accelerato questo percorso. Per quanto riguarda le infrastrutture, attualmente siamo in modalità mista o ibrida, che coinvolge sia on premise sia cloud.

L’integrazione tra mondo legacy e nuovi progetti è sempre delicata, da tanti punti di vista. Attivare nuovi progetti in cloud è per noi importante, anche in termini di adozione corretta di strumenti, non solo in termini di security, ma anche dal punto di vista architetturale. Fondamentale è coinvolgere terze parti, in grado di garantire una collaborazione sicura. Stiamo attivando nuovi progetti sugli ambienti cloud; nei prossimi anni faremo una serie di replacement dagli ambienti legacy ai nuovi progetti; coglieremo l’opportunità per creare un bilanciamento diverso rispetto a quello esistente oggi, tra architetture on premise e architetture in cloud. Questi cambiamenti verso il cloud ci portano ad affrontare anche il tema delle policy, che dovrà portare all’introduzione di una sorta di ‘corpo policy’ progettato ad hoc. Molte sfide del cloud, che stiamo affrontando, sono le stesse di un sistema on premise. L’unica differenza è che il cloud, essendo tecnologicamente più evoluto e poco sotto controllo fisicamente, le moltiplica. Quello che stiamo facendo nel percorso di adozione del cloud è puntare su una modalità, in termini di policy, di strumenti e di tool, che crei una cultura di organizzazione ‘datocentrica’.

Che il dato sia on premise o in cloud, non deve cambiare il nostro approccio al processo e alla security. Il focus sulla sicurezza da solo non basta, bisogna considerare anche il business, l’architettura, gli applicativi e le realtà con cui ci incontriamo tutti i giorni. Quello che stiamo cercando di fare è trasformare un applicativo legacy in un applicativo che usi servizi nativi in cloud, non solo lato security di monitoraggio.

Un altro tema fondamentale è l’accesso al dato, in termini di identità di chi accede a esso e in termini di privilegi. Anche in questo caso l’approccio non è diverso rispetto a quello di un sistema on premise. Il problema è che il cloud rende possibile tutte le condizioni di accesso a 360° con svariate modalità e strumenti. L’adozione del cloud, quando si inizia questo percorso, spesso vincola e richiede competenze dedicate e verticali già in fase di sviluppo della soluzione. Importante, quindi, è anche la fiducia verso l’analisi e le attività di security di terze parti che aiutano l’adozione di progetti in cloud e costituiscono un elemento fondamentale per la buona riuscita del progetto.
La sentenza Schrems II in Edenred si è tradotta nella ricezione di questionari da parte dei clienti per capire come cambiava il contesto dopo la sentenza stessa. A livello di Gruppo, essendo presenti in tutto il mondo, stiamo cercando di usare quanto è emerso dalla sentenza, quanto dice la normativa per migliorare. Questo lo stiamo facendo globalmente, con il supporto della casa madre e con un lavoro di squadra tra i colleghi di compliance e il team del data protection officer.

Domenico Raguseo, Head of Cyber Security di Exprivia

Il cloud è sia un modello di delivery che consente di usufruire di servizi molto velocemente, sia un modello di business che permette di pagare il servizio, quando lo si usa. Lo spostamento del lavoro a casa, la necessità di sviluppare nuovi modelli di pagamento e altre attività hanno visto nel cloud un sistema di delivery e di business vincente. Dal punto di vista della sicurezza, l’accelerazione causata dalla pandemia ha reso necessari interventi tempestivi. Le policy di sicurezza previste per un sistema di servizi on premise si sono rivelate inadeguate; la pandemia ha accelerato l’adattamento delle policy di sicurezza al nuovo modello di business e di delivery.

Lo spostamento del workflow verso il cloud ha previsto due scenari distinti. Il primo ha riguardato la costruzione di servizi in cloud partendo da zero, il secondo la modifica di servizi basati su infrastruttura on premise. I due scenari implicano problemi diversi da affrontare, ma anche elementi in comune. In entrambi i casi è importante pensare alla sicurezza. Un errore che si commette, spesso, consiste nel pensare alla cybersecurity come se fosse un problema di cui si occupa qualcun altro. Questo vale anche quando il workflow è spostato nel cloud. In realtà, anche se l’azienda trasferisce i propri dati al cloud, continua a essere responsabile di quei dati, servizi e processi, mentre le policy e i costi previsti per un servizio on premise vanno riconsiderati e ripianificati.

Non bisogna dimenticare che un workflow basato sull’on premise è basato su policy di sicurezza disegnate utilizzando elementi fisici. Nel momento in cui il workflow è spostato nel cloud, gli elementi fisici previsti non ci sono più, di conseguenza le policy devono essere completamente ridisegnate. Se sono state adottate on premise policy di Zero Trust, migrare al cloud potrebbe essere più semplice, perché il modello di sicurezza Zero Trust prevede un disaccoppiamento tra elementi fisici e non fisici dell’infrastruttura. Se tutto questo non è stato fatto è importante mantenere la propria focalizzazione sulla sicurezza, adattandosi alle nuove esigenze. I responsabili continuiamo a essere noi, questo resta l’elemento comune sia quando si costruisce un servizio cloud sia quando si migra verso il cloud.

La sentenza Schrems II pone questioni complesse, sia dal punto di vista contrattuale sia legale e ha anche forti implicazioni tecnologiche. Conciliare aspetti tecnologici e legali non sempre è facile perché le leggi cambiano in continuazione, la tecnologia non sempre riesce a stare al passo con le nuove normative e i contratti non riescono a rincorrere leggi che cambiano a livello globale. Inoltre, Internet è diventato una sorta di nazione unica, in cui tutti cercano di definire perimetri spesso complicati.

Faccio un esempio. Finché un dato è singolo è semplice analizzarlo, capire se è sensibile e applicare di conseguenza le normative previste anche in materia di controlli di sicurezza. Ma quando parliamo di milioni di dati che da soli non vogliono dire nulla, invece aggregati, identificati e messi in correlazione tra loro diventano a propria volta sensibili, o confidenziali, è necessario prestare molta attenzione. Bisogna anche garantire, nella marea di dati, che tutti possano accedere in funzione dei loro bisogni di business e delle regole previste. Quindi è fondamentale, dal punto di vista tecnologico, disporre di sistemi in grado di classificarli, per poter prevedere diversi gradi di visibilità e adeguate attività di controllo.

Luca Calindri, Country Sales Manager – Data Protection – Italy & Malta di Thales Group

Le considerazioni emerse dalla Tavola Rotonda sono in linea con lo scenario tracciato da Thales nell’ultima edizione del proprio Data Threat Report. Il 22% dei partecipanti all’indagine, che ha coinvolto oltre 1.000 specialisti europei nella security, si è dichiarato pronto ad affrontare il cloud, indipendentemente dalla pandemia. Quasi l’80% degli intervistati, invece, ritiene che, nonostante esistesse già una rotta tracciata, la pandemia abbia influito sulle attività delle aziende, che hanno dovuto modificare le loro strategie.
Riguardo al dato, nel momento in cui i sistemi legacy sono sostituiti da piattaforme as a service, la responsabilità dell’organizzazione proprietaria dei dati non cambia. Chi è responsabile della protezione dei dati on premise mantiene questo ruolo, anche se i dati sono in cloud.
Spesso c’è difficoltà nel restare al passo con la sfida introdotta da un upload in cloud. Dal Data Threat Report emerge che le aziende di ogni Paese europeo si servono, in media, di 34 piattaforme cloud. In Italia la cifra è più bassa, ma l’adozione del multicloud è in accelerazione, come conferma l’Osservatorio del Politecnico di Milano.
Una delle difficoltà è costituita dalla fatica nel restare al passo con gli strumenti di security che ogni cloud provider rende disponibili. Spesso le funzioni di Data Protection proposte dalle diverse piattaforme cloud sono basate su approcci e algoritmi diversi tra loro e, oltre tutto, possono evolvere e cambiare nel tempo. Thales aiuta a superare queste difficoltà, rendendo disponibili soluzioni compatibili con quelle dei principali cloud provider, testando e documentando nuove integrazioni e manutenendole in caso di evoluzioni.

Oggi alcuni cloud provider sono più sensibili verso la sicurezza e invitano i clienti ad appoggiarsi su un modello di External Key Management. In passato, invece, questa tematica era meno sentita e cruciale, tanto per i clienti, quanto per i cloud provider. La normativa europea in tema di Data Privacy, le sentenze già citate e il forte dibattito sul tema Data Sovereignty hanno messo in risalto la necessità di una separazione più netta tra ruoli. Per la protezione dei dati si ritiene opportuno fare affidamento su una realtà esterna, garantendo interoperabilità, flessibilità e indipendenza dal cloud provider.

Un altro tema importante è il time to market. Talvolta l’introduzione del cloud è accelerata su impulso del business, indipendentemente dall’IT e dalla security. Invece, nella scelta di introdurre il cloud, il coinvolgimento delle aree IT e security è fondamentale, per valutare non solo le esigenze di business e digital transformation, ma anche la sicurezza.
Per affrontare l’impatto della sentenza Schrems II sulla sovranità dei dati, ci si può muovere tra due estremi. L’estremo inferiore prevede di migrare workload in cloud senza protezioni legate alla crittografia. L’estremo opposto, invece, è definito dal Confidential Computing, ossia da piattaforme abilitate a garantire un modello di protezione sofisticato, in divenire.

Thales sta lavorando per abilitare diversi scenari per garantire maggiori livelli di separazione dei ruoli, di protezione dei dati e di gestione efficiente e centralizzata. A tal proposito si cita l’approccio ‘hold your own key’, una chiave generata on premise dal cliente e da lui custodita, che consente di abilitare l’accesso ai dati in cloud senza doverla trasferire sulla piattaforma cloud. Oppure ancora, per gli ambienti Iaas, il cliente può arrivare a scenari di ‘bring your own encription’ in cui si aprono ipotesi di cifrature a livello applicativo, o ad altri livelli, abilitati o gestiti solo dal cliente con il suo materiale crittografico.

Considerate le diverse esperienze in cui il problema era addirittura a monte della protezione – ossia la conoscenza di dove risiede il dato (sensibile, confidenziale…) – per consentire l’individuazione dei dati, nella nostra piattaforma di data protection abbiamo introdotto funzionalità di ‘data discovery & classification’, disponibile on premise e in cloud e già ‘sintonizzata’ sulle normative vigenti.