Sicurezza e sovranità dei dati devono essere le priorità dei cloud provider che lavorano con la Pubblica Amministrazione. In particolare, quando la gestione riguarda i dati strategici, questi aspetti assumono ulteriore rilievo e il livello di affidabilità deve essere qualificato, per non rischiare che informazioni tanto importanti per lo Stato possano subire compromissioni. Per questo motivo l’Acn – Agenzia di cybersicurezza nazionale ha introdotto procedure di qualificazione dei servizi cloud e delle infrastrutture pubbliche che erogano i servizi. Qualificazioni che vengono attribuite in conseguenza al rispetto di requisiti stabiliti dall’ente, basati su standard internazionali di sicurezza.
In questo ambito, conoscere i livelli di sicurezza, gli obiettivi e gli obblighi è importante per approfondire come avviene una gestione sicura di dati tanto sensibili: vediamo il caso di Aruba, che di recente ha ottenuto la qualifica QI3 che consente la gestione di dati pubblici strategici, i più rilevanti per il funzionamento del Paese.
Che cos’è e come funziona la qualifica QI3
L’Agenzia di cybersicurezza nazionale ha fissato diversi livelli per la qualificazione sia dei servizi cloud sia delle infrastrutture che li erogano. I primi sono classificati su una scala da QC1 a QC4, mentre le infrastrutture da QI1 a QI4, a seconda del rispetto di particolari caratteristiche indicate dalla normativa che consentono di gestire differenti tipologie di dati. L’obiettivo dell’ente è quello di fissare alti standard di qualità e sicurezza, per evitare rischi che possano compromettere informazioni essenziali per lo Stato italiano. La classificazione dei dati operata dall’Acn, infatti, prevede che questi siano divisi in tre categorie:
- Dati ordinari: in caso di incidente, non si genererebbero interruzioni dei servizi o rischi per il funzionamento del Paese.
- Dati critici: sono dati che riguardano settori come la sanità, la sicurezza e l’economia, la cui compromissione potrebbe generare problemi alle strutture dello Stato.
- Dati strategici: sono dati la cui compromissione avrebbe conseguenze importanti e negative per la sicurezza dello Stato.
Per garantire la protezione dei dati strategici, ma anche per assicurare la business continuity e avere certezza di una efficace gestione delle minacce, i dati strategici possono essere gestiti solo da provider che hanno ottenuto le qualifiche ai livelli più alti, cioè QI3 – QI4 e QC3-QC4. I livelli differiscono per il numero e la tipologia di certificazioni internazionali richieste oltre che per dettagliati requisiti di sovranità. Ovviamente, oltre ai dati strategici, i provider con le qualifiche di livello più alto possono occuparsi anche di dati classificati come ordinari o critici, che richiedono requisiti inferiori.
Quali sono gli obiettivi della qualifica QI3
Considerando i livelli di qualificazione per le infrastrutture dei servizi cloud, la qualifica QI3 è la prima che consente di gestire le informazioni strategiche della Pubblica Amministrazione, dando quindi alla PA la certezza che i propri dati siano gestiti:
- su un’infrastruttura compliant rispetto alle norme italiane ed europee sulla cybersecurity e la data protection;
- in modo da garantire sempre la continuità operativa dei servizi e delle strutture pubbliche;
- con attenzione ai potenziali rischi di sicurezza legati al processo di digital transformation;
- garantendo l’impiego di una piattaforma con un alto grado di affidabilità.
Punti che, per essere rispettati, richiedono oggettivi riconoscimenti. Questi sono riconducibili al rispetto dei requisiti previsti dalle norme che fissano standard internazionali, come per esempio:
– ISO 22301 business continuity management system, che attesta il requisito della gestione della continuità operativa;
– ISO 27017 che certifica i requisiti di sicurezza;
– ISO 27018 per certificare i requisiti di data protection;
– ISO 9001 che certifica la gestione della qualità.
Ottenere la qualifica QI3: il caso di Aruba
Aruba, soddisfacendo tutti i requisiti e disponendo delle necessarie certificazioni, ha ottenuto la qualifica QI3 dall’Agenzia di cybersicurezza nazionale. Con il conseguimento di questa qualifica, l’infrastruttura Aruba è stata indicata come adatta per la gestione di dati strategici.
Tuttavia, non è solo una questione di garanzie sul fronte della sicurezza. Al di là dell’affidabilità dell’infrastruttura proprietaria, va sottolineato come parallelamente ai requisiti per la protezione dei dati, siano valorizzate ulteriori caratteristiche altrettanto importanti per la trasformazione digitale della Pubblica Amministrazione. Tra queste, il fatto che l’infrastruttura Aruba sia:
- del tutto compliant alle normative e agli standard sulla sicurezza e la protezione dei dati;
- dotata di alta scalabilità, che consente alla Pubblica Amministrazione di adeguare in modo rapido i propri servizi in base alle necessità, in un’ottica di crescita;
- caratterizzata da grande flessibilità, indispensabile per realizzare servizi innovativi che rispondano alle esigenze delle amministrazioni;
- capace di offrire ampi spazi di personalizzazione dei servizi.
Da sottolineare come le principali priorità da considerare trattando di dati strategici pubblici, cioè sicurezza e sovranità, siano soddisfatte anche in relazione alla territorialità che caratterizza le strutture fisiche del provider italiano. Aruba, infatti, ospita i propri data center principalmente su suolo italiano, nessun dato viene trasferito all’estero, né in Unione europea né verso Paesi terzi, con il vantaggio di avere quindi totale certezza del rispetto delle regole stabilite dal GDPR.
Contributo editoriale sviluppato in collaborazione con Aruba
