Non c’è dubbio che le aziende che scelgono di caricare i propri dati sul cloud godono di numerosi benefici: costi molto contenuti, facile accessibilità, nessun onere di mantenimento di hardware ed esperti a disposizione in caso di problemi. Tutti questi vantaggi hanno ampiamente provato che le piattaforme cloud sono strumenti necessari e vitali per il progresso dell’industria moderna.
Tuttavia alcune questioni restano ancora aperte quando si tratta del mondo online, prima fra tutte quella della protezione dei dati sensibili. In molti dibattiti relativi al cloud computing, il tema della sicurezza è quasi sempre in cima alla lista delle preoccupazioni e non importa quale sia il grado di protezione che i cloud vendor applicano ai file, c’è sempre la percezione che il livello complessivo di sicurezza si abbassi una volta che i dati sono fuori dal diretto controllo di un’organizzazione. Perplessità relative alla riservatezza a alla sovranità dei dati rimangono ancora il principale fattore che frena molte aziende dall’adottare servizi cloud-based.
Se da un lato questa preoccupazione è comprensibile (i dati sono tra gli asset più importanti e strategici di un’azienda!), la realtà attuale ci dice che – se gestita correttamente – la sicurezza dei dati nel cloud computing può essere equivalente, se non addirittura superiore, rispetto a quella delle tradizionali piattaforme IT on-premise.
Per dirla con le parole di Eran Feiganbaum, responsabile della sicurezza per Google Apps “Il cloud computing, quando software e servizi IT sono distribuiti sul web attraverso un browser, è un cambiamento paragonabile a togliere i propri gioielli dalla cassettiera di casa e portarli in banca” (Fonte: Google’s blog).
Ma perché la sicurezza dei dati nel cloud può essere superiore a quella dell’IT tradizionale? Per rispondere a questa domanda è utile partire dalla definizione di cloud computing. Il cloud computing consiste nel fornire servizi—server, archiviazione, database, networking, software, analytics, e via dicendo—attraverso Internet (“la nuvola”). I servizi cloud sono tipicamente classificati in tre categorie: infrastructure as a service (IaaS), platform as a service (PaaS), e software as a service (Saas).
Lo IaaS è la delivery virtuale di risorse sotto forma di servizi di hardware, networking e archiviazione. Dunque, piuttosto che acquistare e installare le suddette risorse, con lo IaaS si affitta l’infrastruttura IT da un provider e si paga solo per le risorse che effettivamente si utilizzano.
Il PaaS è un servizio di cloud computing che fornisce un ambiente per lo sviluppo di applicazioni software.
Il SaaS è una modalità di offerta di applicazioni software attraverso internet legata al pagamento di un canone periodico. Il modello SaaS elimina così l’onere di installare o gestire il software in casa propria, rendendolo al contempo accessibile da qualunque dispositivo, in ogni momento e da qualunque luogo.
È chiaro che, per via della sua stessa natura, il cloud computing implica che, per così dire, una parte del controllo venga ceduta dall’azienda cliente al provider. Tuttavia controllo non significa sicurezza. Anzi! La sicurezza dei dati nel cloud computing è potenzialmente superiore a quella di un tipico corporate data center, proprio come – per tornare all’esempio di Eran Feiganbaum – i gioielli custoditi in banca sono meno esposti al rischio di furto di quelli conservati nel comò di casa. E questo per una ragione fondamentale: lo staff del cloud provider ha un solo compito, proteggere i dati. Ciò vuol dire che gli operatori di un cloud provider possiedono un livello di expertise nelle operazioni relative alla sicurezza dei dati che la maggior parte delle aziende non può permettersi. Inoltre, poiché nei cloud data center i costi per la sicurezza dei dati sono suddivisi tra un vasto numero di clienti, gli operatori cloud hanno le risorse per attuare misure di sicurezza di gran lunga più efficaci di quelle home-made.
Un altro importante vantaggio che il cloud è in grado di offrire è la diversificazione geografica. Infatti, poiché il provider si trova in una location differente da quella dei propri clienti, la probabilità che uno stesso evento possa danneggiare sia il data center che i dati sensibili del cliente è ridotta al minimo. E se si sceglie bene, il cloud provider avrà molti data center, ognuno collocato in un’area geografica diversa, cosicché i dati dei clienti saranno conservati e preservati in più di un luogo.
Se a ciò si aggiunge il rischio reputazionale e il danno economico a cui un cloud provider andrebbe incontro se non facesse attenzione alla protezione dei dati, è facile comprendere perché è suo interesse primario garantire il più alto livello possibile di sicurezza.