Garantire la massima sicurezza dei dati e delle informazioni che gestisce attraverso i propri sistemi e servizi tecnologici è sempre stato un punto fondamentale nella strategia aziendale di Net Service.
Questo perché è un tema che richiede un’attenzione costante, soprattutto per poter far fronte tempestivamente alle nuove criticità che l’evolversi delle tecnologie presentano. Prima fra tutte, l’incertezza connessa al prolificare dei servizi Cloud, ormai sempre più utilizzati da Imprese e Pubblica Amministrazione votate all’innovazione. I dati che gli ambienti Cloud custodiscono e gestiscono sono davvero al sicuro? Nel caso dei servizi Cloud erogati dalla società bolognese, sì, e a dimostrarlo ci sono le nuove integrazioni alla certificazione sulla Sicurezza delle Informazioni rilasciate dall’Ente di Certificazione TÜV Italia.
Net Service ha infatti ottenuto l’estensione ai controlli ISO/IEC 27017 e ISO/IEC 27018 del proprio certificato ISO/IEC 27001 sulla Sicurezza delle Informazioni.
Un risultato notevole che dimostra l’impegno del Gruppo Net di assicurare sempre ai propri clienti sistemi IT e servizi di altissimo profilo, sicuri e certificati. Ma di cosa trattano nello specifico queste due linee guida?
Lo standard ISO/IEC 27017 rientra tra gli standard della serie ISO/IEC 27001 e definisce controlli avanzati sia per i fornitori di servizi Cloud, sia per i relativi clienti.
A differenza di molti altri standard legati alla tecnologia, chiarisce i ruoli e le responsabilità dei diversi attori coinvolti al fine di garantire che i dati conservati in Cloud siano sempre sicuri e protetti, quasi fossero custoditi all’interno di un sistema di gestione delle informazioni certificato.
Lo standard ISO/IEC 27017 (Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services) fornisce inoltre una guida per i servizi Cloud basata sui 37 controlli derivanti dalla ISO/IEC 27002 (Tecnologie Informatiche - Tecniche di sicurezza - Codice di pratica per la gestione della sicurezza delle informazioni) e su sette nuovi controlli aggiuntivi, focalizzati sui seguenti punti:
- Suddivisione delle responsabilità tra fornitore e clienti dei servizi Cloud;
- Rimozione / assegnazione delle attività alla cessazione di un contratto;
- Protezione e separazione degli ambienti virtuali;
- Configurazione delle Virtual Machine;
- Attività amministrative e procedure connesse con l’ambiente Cloud;
- Monitoraggio delle attività del cliente all’interno dell’ambiente Cloud;
- Allineamento degli ambienti virtuali e Cloud.
Lo standard ISO/IEC 27018 è invece una linea guida pensata per i fornitori di servizi Cloud pubblici che vogliono migliorare la gestione dei dati personali.
L’obiettivo di questo standard (Codice di condotta per la protezione delle PII Personally Identifiable information nei servizi di public cloud per i cloud provider) è fornire una modalità strutturata, basata sul Privacy by Design, per far fronte alle principali questioni giuridiche, legali e contrattuali legate alla gestione dei dati personali in infrastrutture informatiche distribuite (Cloud pubblico).
Le contromisure specifiche introdotte dalla ISO/IEC 27018 si basano sui principi internazionali emanati riguardo alla privacy e guidano la progettazione, lo sviluppo, l’attuazione, il monitoraggio e la misurazione di politiche sulla privacy e di controlli della privacy nei servizi di Cloud Computing.