Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Cloud Italia: una strategia in 3 fasi per portare l’Italia tra le nuvole.

Redazione RHC : 7 Settembre 2021 13:32

  

Si sta ancora svolgendo la Conferenza stampa di presentazione della “Strategia Cloud Italia” dove sono intervenuti il ministro per l’Innovazione tecnologica e la Transizione digitale Vittorio Colao, il sottosegretario delegato alla Sicurezza Franco Gabrielli, Roberto Baldoni d.g. Agenzia per la Cybersicurezza Nazionale e Paolo de Rosa, chief Technology Officer del Dipartimento per la Trasformazione digitale, ma alcuni documenti sono già stati pubblicati sul sito del Ministero per l’innovazione.

“L’irreversibile processo di trasformazione digitale della società, accelerato dalla emergenza pandemica ancora in corso, ha reso improcrastinabile un’analoga trasformazione della Pubblica Amministrazione”.

Così inizia il documento “Strategia Cloud Italia”, emesso oggi dal Ministero per l’innovazione tecnologica e la transizione digitale e poi continua nella sintesi:

La digitalizzazione della Pubblica Amministrazione si impone oggi come obiettivo prioritario per garantire ai cittadini e alle imprese servizi pubblici di maggiore qualità, efficienza ed efficacia, oltre che per creare nuove opportunità di sviluppo per l’economia digitale del Paese. In questo processo trasformativo, il ricorso al Cloud Computing, o Cloud, riveste un ruolo centrale in ragione delle sue caratteristiche abilitanti per la semplificazione e ottimizzazione della gestione delle risorse IT, la riduzione dei costi, e l’introduzione di nuove tecnologie digitali.

Attualmente, la maggior parte dei servizi pubblici vengono erogati tramite data center della PA che spesso non possiedono caratteristiche sufficienti per assicurare adeguati standard di affidabilità e resilienza.

La strategia Cloud

Per raggiungere questi standard si richiedono “investimenti e competenze che oggi non sono a disposizione di molte delle pubbliche amministrazioni centrali e locali” viene riportato nel documento.

La Strategia Cloud Italia si pone in questo contesto come metodologia implementativa della policy “Cloud-First”, pilastro del progetto di digitalizzazione della PA enunciato nel PNRR italiano.

Questa policy permetterà di guidare, e favorire l’adozione sicura, controllata e completa delle tecnologie Cloud per la PA, con l’obiettivo, a tendere, che tutti i servizi erogati siano basati su applicazioni “Cloud-native”, sviluppate cioè nativamente sulla base dei paradigmi Cloud.

La strategia Cloud per la PA si declina quindi sulla base delle seguenti linee di indirizzo strategico:

  1. Classificazione dei Dati e dei Servizi: definizione di un processo di classificazione dei dati per guidare e supportare la migrazione dei dati e servizi della PA sul Cloud;
  2. Qualificazione dei Servizi Cloud: realizzazione di un processo sistematico di scrutinio e qualificazione dei servizi Cloud utilizzabili dalla PA;
  3. Polo Strategico Nazionale: creazione di un’infrastruttura nazionale per l’erogazione di servizi Cloud, la cui gestione e controllo siano autonomi da soggetti extra UE.

La classificazione

Inoltre, i servizi Cloud disponibili, devono essere adottati “in modo regolamentato così da mitigare i rischi sistemici dell’adozione del Cloud” pertanto è necessario “individuare un processo sistematico di classificazione dei dati e dei servizi gestiti dalle PA”.

Infatti in tale sistemi le classi dei dati e i servizi verranno identificate sulla base del relativo danno che la loro compromissione potrebbe comportare al paese e quindi la misurazione avverrà sotto le tre consuete direttrici quali confidenzialità, integrità e disponibilità.

Le classi saranno:

  1. Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
  2. Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
  3. Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese

La qualificazione

L’acquisizione di servizi Cloud da parte delle pubbliche amministrazioni avviene mediante procedure di acquisto la cui scarsa flessibilità difficilmente permette di tenere il passo del mercato e, soprattutto, di valutare gli effettivi rischi tecnici e organizzativi connessi all’adozione di uno specifico servizio.

Nella prospettiva di facilitare e guidare l’implementazione della policy “Cloud-First” per la PA, risulta dirimente offrire un servizio di qualificazione ex-ante dei servizi Cloud acquistabili dalla PA.

Tale qualificazione, partendo dall’esperienza maturata da AgID, si pone l’obiettivo di semplificare e regolamentare, sia dal punto di vista tecnico che amministrativo, l’adozione di servizi Cloud.

Alla luce della classificazione proposta e delle sfide poste dall’adozione del Cloud, la qualificazione dei servizi Cloud non potrà prescindere dall’analisi dei seguenti aspetti:

  1. gestione operativa dei servizi Cloud, con dettaglio sugli standard tecnico-organizzativi applicati e sulle misure di controllo sui dati;
  2. requisiti di sicurezza applicati nella gestione dei dati ed erogazione di servizi, quali le modalità di gestione delle chiavi di cifratura e i controlli di sicurezza applicati;
  3. condizioni contrattuali applicate all’erogazione del servizio (Service-Level Agreement, SLA) e alla sua rendicontazione, quali le garanzie di disponibilità e altri strumenti contrattuali a disposizione delle amministrazioni.

Sulla base dell’analisi delle soluzioni tecnologiche e organizzative disponibili sul mercato, i tre aspetti di analisi permettono di individuare a priori la qualificazione dei servizi Cloud riportata di seguito.

  1. I servizi di Cloud Pubblico non qualificato (extra UE/UE), ovvero quei servizi che non rispondono ai criteri tecnico-organizzativi e normativi individuati in precedenza.
  2. I servizi di Cloud Pubblico qualificato (UE) compatibili con legislazioni rilevanti in materia (es. GDPR e NIS) che consento la localizzazione dei dati in UE e il rispetto di requisiti di sicurezza tecnicoorganizzativi, tipicamente sulla base di sistemi di cifratura granulare gestiti dal fornitore CSP10.
  3. I servizi di Cloud pubblico con controllo on-premise dei meccanismi di sicurezza, c.d. Cloud Pubblico Criptato (IT), che consentono di incrementare significativamente il livello di controllo sui dati e servizi, introducendo un maggior livello di autonomia dai CSP extra-UE nella gestione operativa e il controllo delle infrastrutture tecnologiche
  4. Soluzioni di Cloud privato e ibrido, infine, permettono la localizzazione dei dati in Italia e maggior isolamento dalle region pubbliche dei principali CSP. Tali garanzie di autonomia sono ottenute mediante la gestione operativa da parte di un fornitore soggetto a vigilanza e monitoraggio pubblico. Queste implementazioni si possono distinguere tra:
  5. soluzioni basate su tecnologia hyperscaler licenziata da uno o più CSP, c.d. Cloud privato/ibrido “su licenza” (IT), oppure
  6. soluzioni basate su tecnologie commerciali qualificate mediante procedure di scrutinio e certificazione tecnologica, c.d. Cloud Privato Qualificato (IT).

Il polo strategico nazionale

I piani di migrazione saranno definiti in accordo con il risultato della classificazione dei dati e dei servizi. La classificazione e la redazione del piano di migrazione saranno definiti e supportati, per i rispettivi profili di competenza, dell’Agenzia per la Cybersicurezza Nazionale (ACN) e del Dipartimento per la Trasformazione Digitale (DTD).

Questo processo non potrà prescindere dalla responsabilizzazione del soggetto pubblico e permetterà di individuare e catalogare i dati e i servizi gestiti, applicando poi una categorizzazione rispetto agli impatti di eventuali compromissioni, dei vincoli normativi e di sicurezza.

L’esito della classificazione dei dati e servizi da migrare sul Cloud (ovvero dati strategici, critici o ordinari) permetterà di individuare i piani di migrazione al Cloud più idonei. Tali piani saranno validati e confermati dal Dipartimento e dall’Agenzia al fi ne di assicurare la congruità e il rispetto delle linee strategiche

Le Fasi della strategia Cloud.

La Strategia Cloud Italia si articolerà in fasi successive secondo la scansione temporale di seguito proposta:

  • FASE 1 – Pubblicazione del bando di gara per la realizzazione del PSN: al più tardi entro la fine del 2021 si procederà a pubblicare il bando di gara per la realizzazione del PSN.
  • FASE 2 – Aggiudicazione e Realizzazione del PSN: al più tardi entro la fine del 2022 dovrà avvenire l’aggiudicazione del bando di gara.
  • FASE 3 – Migrazione delle amministrazioni: a partire dalla fine del 2022 dovrà iniziare la migrazione della PA verso il PSN, da concludersi entro la fine del 2025. Nella fase di migrazione verrà data precedenza alle PAC che attualmente operano con data center propri classificati, secondo il censimento AgID del patrimonio ICT della PA, in Categoria B (con carenze strutturali e/o organizzative o che non garantiscono la continuità dei servizi).

Fonte

https://www.redhotcyber.com/wp-content/uploads/attachments/1631016873-strategiaclouditalia2021ita.pdf

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.