In attesa che il legislatore definisca chiaramente cosa si può (e si deve) fare, è compito dell’azienda definire gli standard di sicurezza e il perimetro di quanto deve essere protetto.
Sui vuoti legislativi che attanagliano l’informatica in generale e il cloud in particolare abbiamo già discusso.
Il punto è che è difficile pensare a una soluzione in tempi brevi, sia per il cronico ritardo della legislazione rispetto alla tecnologia sia per il fatto che – soprattutto in materia gestione dei dati personali – è sperabile una presa di posizione unica a livello europeo, con tutti le lungaggini che si possono immaginare.
Cosa possono quindi fare le imprese per cercare di tutelarsi? La questione è stata affrontata da Raffaele Zallone, avvocato, un passato nell’ufficio legale di Ibm, in occasione di un incontro organizzato da F5 Networks e Vmware sulla sicurezza del cloud.
Tecnicamente parlando di parla di “inversione dell’onere della prova”. Visto che il legislatore in sostanza non ha legiferato, è l’impresa che “deve provare di aver fatto tutto quanto il necessario per impedire l’evento e le sue conseguenze dannose”. In altre parole, “più l’impresa fa in termini di sicurezza e prevenzione e meno sarà responsabile in sede giudiziale”.
Nel codice per il trattamento dei dati personali, si spiega che bisogna “predisporre tutte le misure minime di sicurezza informatica necessarie per ridurre al minimo il rischio di violazione della privacy”. Si badi bene: si dice “ridurre al minimo” non “eliminare”.
Si tratta di regole generali che valgono per tutti rivoli nei quali si dipana l’information security.
In termini pratici, per le imprese questo significa definire delle procedure codificate di gestione dei dati, dei workflow formalizzati, un responsabile per la gestione del trattamento e via dicendo.
“E’ l’azienda – conclude Manlio Paparelli, Manager Director di F5 Networks Italia e Turchia – che deve decidere quali standard di sicurezza adottare: chi può accedere a quali dati, come quando, in che termini”.
Dopodiché è l’impresa che deve esigere quel livello di sicurezza al proprio fornitore. Ma sarà facile in un’ottica cloud, dove è spesso il fornitore a dettare le regole del gioco?
- La sicurezza nel cloud? È questione di fiducia
- Il cloud computing tricolore è già qui
- La pirateria? Si combatte anche con il cloud
- Nel cloud la taglia unica non funziona
- Dite all’Europa come vorreste il cloud
- Linux al tempo del cloud
- “ll cloud computing? E’ illecito”
- Il mainframe ha a che fare con il cloud
- Cloud in azienda: una volta su due l’ha deciso l’It
- Hp: il leasing può convincere le imprese a passare al cloud
