La sicurezza del cloud comincia in azienda

Se il legislatore non legifera, è comunque compito dell’impresa definire gli standard minimi: più si fa in termini di security e meno si sarà responsabili in sede giudiziale.

Dei vuoti legislativi che attanagliano l’informatica in generale e il cloud in particolare abbiamo già discusso.

Il punto è che è difficile pensare a una soluzione in tempi brevi, sia per il cronico ritardo della legislazione rispetto alla tecnologia sia per il fatto che – soprattutto in materia gestione dei dati personali – è sperabile una presa di posizione unica a livello europeo, con tutte le lungaggini che è facile immaginare.

Cosa possono quindi fare le imprese per cercare di tutelarsi? La questione è stata affrontata da Raffaele Zallone, avvocato, un passato nell’ufficio legale di Ibm, in occasione di un incontro organizzato da F5 Networks e Vmware sulla sicurezza del cloud.

Più l’azienda fa e meno sarà responsabile
Tecnicamente parlando di parla di “inversione dell’onere della prova”. Visto che il legislatore in sostanza non ha legiferato, è l’impresa che “deve provare di aver fatto tutto quanto il necessario per impedire l’evento e le sue conseguenze dannose”. In altre parole, “più l’impresa fa in termini di sicurezza e prevenzione e meno sarà responsabile in sede giudiziale”.

Nel codice per il trattamento dei dati personali, si spiega che bisogna “predisporre tutte le misure minime di sicurezza informatica necessarie per ridurre al minimo il rischio di violazione della privacy”. Si badi bene: si dice “ridurre al minimo” non “eliminare”.

Si tratta di regole generali che valgono per tutti rivoli nei quali si dipana l’information security.

In termini pratici, per le imprese questo significa definire delle procedure codificate di gestione dei dati, dei workflow formalizzati, un responsabile per la gestione del trattamento e via dicendo.

E’ l’azienda – conclude Manlio Paparelli, Managing Director di F5 Networks Italia e Turchia – che deve decidere quali standard di sicurezza adottare: chi può accedere a quali dati, come, quando, in che termini”.

Dopodiché  è l’impresa che deve esigere quel livello di sicurezza al proprio fornitore. Ma sarà facile in un’ottica cloud, dove è spesso il fornitore a dettare le regole del gioco?

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome