Ultimi trend in ambito digitale e news dell'associazione | Blog | ated

Che cosa deve offrire un provider cloud affidabile - Blog Ated – ICT Ticino - Ated

Scritto da ated | 24 gen 2022

Le certificazioni cloud sono un indice di qualità e sicurezza. Ma solo audit regolari forniscono informazioni affidabili su tutti gli aspetti rilevanti


Che cosa deve offrire un provider cloud affidabile

Le certificazioni cloud sono un indice di qualità e sicurezza. Ma solo audit regolari forniscono informazioni affidabili su tutti gli aspetti rilevanti.

Di Andrea Cariglia, Senior Solution Consultant di Swisscom

La sicurezza e l’affidabilità dei provider e dei servizi cloud sono fondamentali. In un’impresa i dati anagrafici e le operazioni dei clienti devono essere trattati in modo confidenziale e non devono finire nelle mani sbagliate. I calcoli dei prezzi e gli accordi con i fornitori devono riguardare solo le parti coinvolte. Lo stesso vale per i dossier personali e i dati relativi ai salari. Non può succedere che i sistemi informatici non funzionino per giornate intere o che i dati vadano persi. 

Tutto questo vale per i sistemi ospitati nel centro di calcolo aziendale interno. Tuttavia, anche chi affida l'IT completamente o in parte al cloud ha bisogno della garanzia che il provider abbia adottato tutte le misure necessarie riguardo la sicurezza informatica, la protezione dei dati e la disponibilità dei sistemi.

 

Certificazione dei centri di calcolo e dei servizi cloud

I certificati forniscono una prova dell’affidabilità dei provider, dei loro centri di calcolo e dei singoli servizi cloud. Ad esempio:

  • «Star Audit ECSA» e «Star Audit Swiss» con caratteristiche aggiuntive specifiche per la Svizzera di eurocloud.org. 
  • Il certificato «Trusted Cloud» di TÜV Rheinland conferma che è stata superata una serie di test su tutti gli aspetti rilevanti. 
  • Il certificato Tier IV dell’Uptime Institute, considerato il massimo riconoscimento di qualità al mondo, garantisce la disponibilità, l’efficienza e la sicurezza dei centri di calcolo. Il data center di Swisscom a Wankdorf è stato il primo in Svizzera a ricevere questo certificato nel 2014.

Queste certificazioni considerano norme e disposizioni per la progettazione e il funzionamento dei centri di calcolo, integrate da caratteristiche e controlli di affidabilità e funzionalità specifici per il cloud.

Tuttavia, i certificati si riferiscono sempre e solo a un momento specifico, non forniscono una sorveglianza continua dei sistemi e dei servizi e non tengono conto dei singoli clienti, dei servizi forniti e delle esigenze individuali.

 

Trasparenza e visibilità

Quello che aiuterebbe davvero i clienti cloud, sarebbero degli audit regolari. L’obiettivo è dare al cliente trasparenza e visibilità su tutte le caratteristiche di sistema. Il provider che può fornirle offre alla clientela un duplice vantaggio: con la certificazione e i report può soddisfare i propri obblighi di diligenza e il cliente si convince dell’adeguata realizzazione dei servizi e delle misure di sicurezza.

Come provider di servizi cloud, Swisscom poggia su sei pilastri:

  • Il sistema di gestione certificato ISO 9001 rappresenta una certificazione della qualità riconosciuta a livello mondiale.
  • Swisscom attribuisce una notevole importanza a un sistema di service management sostenibile, orientato alle esigenze dei clienti e conforme alle linee guida ITIL. Ne è la riprova la certificazione ISO 20000:2011 del suo sistema di IT Service Management.
  • La sicurezza delle informazioni e dei dati è estremamente importante per i nostri clienti e per Swisscom.  Tutta l’azienda è certificata ISO 27001: questa norma garantisce la presenza e il mantenimento di un Information Security Management System documentato. Ciò significa, tra le altre cose, che Swisscom tratta i dati dei clienti e dei collaboratori con la massima riservatezza e in conformità alla legge.
  • Un report esterno sulle infrastrutture secondo SOC2/ISAE3402: un sistema di controllo verifica che mira al soddisfacimento di specifici criteri di sicurezza, disponibilità, integrità di elaborazione, riservatezza e privacy.
  • Il Business Continuity Report, prodotto da un audit esterno: dimostra l’attuazione di misure di Disaster Recovery per le applicazioni particolarmente critiche per l’attività.
  • Il Security Reporting informa sulla sicurezza dei Managed Services, concentrandosi in particolare sul patch management, sulle misure anti-malware e sull’hardening dei sistemi.
Visualizza articolo completo