L’adozione del cloud nella Pubblica Amministrazione non è solo una visione, ma è già diventata realtà. Molti paesi, tra cui l’Italia, hanno già adottato soluzioni in tal senso e sono in una fase di evoluzione continua, ma esistono delle differenze nell’approccio utilizzato per applicarle e tempi differenti e nonostante siano stati fatti i primi passi per ottenere risparmi sui costi ancora oggi tanti si affidano a sistemi legacy.
Prima di fare un confronto tra l’uso del cloud in alcuni paesi, ricordiamo quali sono i principali vantaggi dell’uso della tecnologia nella PA: la scalabilità, che consente di consumare le risorse realmente necessarie e garantire i picchi di carico più elevati solo periodi necessari; i costi flessibili, che consentono di pagare solo la quantità di risorse IT effettivamente consumate; la semplicità di implementazione, che grazie all’ausilio delle API si possono sviluppare applicazioni facilmente; la bassa manutenzione, attività demandata direttamente al fornitore; l’aumento della disponibilità delle applicazioni, in quanto le applicazioni risulterebbero sempre disponibili 24×7.
Iniziamo a parlare di cosa accade oltreoceano per poi fare un breve confronto con alcuni paesi europei.
Cloud nazionale, la nuova cyber security italiana passa anche da qui
Lo stato dell’arte negli Usa
Negli Stati Uniti le politiche federali “Cloud First” e “Smart Cloud” hanno aiutato le agenzie federali ad avviare il processo di migrazione al cloud. Secondo gli obiettivi, i governi dovrebbero adottare queste politiche per passare in modo aggressivo al cloud al fine di migliorare i servizi per i cittadini, rafforzare la sicurezza IT e ridurre i costi.
Attualmente, gli Stati Uniti sono uno dei paesi leader nell’adozione del cloud computing e anche se il percorso è iniziato oltre 10 anni fa, ancora diversi servizi non sono stati migrati nel cloud. La maggior parte dei servizi cloud governativi oggi sono offerti e gestisti dalla US General Service Administration (GSA), che ora prevede di lanciare un nuovo contratto massiccio per offrire l’accesso a infrastrutture cloud, piattaforme, software e altri servizi a tutte le agenzie federali, tramite l’acquisizione di una soluzione cloud a livello governativo per aiutare le agenzie a “implementare offerte di servizi cloud commerciali sicuri, perfettamente integrati in sostituzione di prodotti e servizi IT aziendali legacy”. Tutto ciò rappresenta un’opportunità significativa per i fornitori di servizi cloud federali e le aziende che offrono servizi di supporto professionale relativi al cloud. La spesa pubblica per i servizi cloud negli USA è salita alla cifra record 6,9 miliardi di dollari nell’anno 2020.
L’offerta del cloud è abbastanza semplice e viene proposta secondo la definizione del National Institute of Standards and Technology (NIST) composta da 5 caratteristiche essenziali (On-Demand Self-Service, Broad Network Access, Resource Pooling, Rapid Elasticity, Measured Service), 4 modelli di sviluppo (Public cloud, Private cloud, Hybrid cloud, Community cloud) e 3 modelli di servizio (Software as a Service, Platform as a Service, Infrastructure as a Service), con una roadmap che parte dalla pianificazione sino ad arrivare all’implementazione, il tutto supportato da un portale di facile accesso e utilizzo https://cic.gsa.gov
Particolare attenzione viene data alla sicurezza informatica e proprio su questo le agenzie federali vengono sollecitate all’utilizzo del cloud per prevenire le vulnerabilità informatiche causate dall’invecchiamento delle tecnologie legacy. Le stesse agenzie sono responsabili del mantenimento della sicurezza delle loro reti e dei sistemi informatici, secondo il Federal Information Security Management Act (FISMA) compresi i sistemi IT che sfruttano o sono completamente implementati utilizzando soluzioni cloud. Inoltre viene adottato un programma per la valutazione della sicurezza, il Federal Risk and Authorization Management Program (FedRAMP), per identificare i controlli di sicurezza applicabili e le linee di base di controllo.
L’ambito della valutazione della sicurezza si basa su due fattori, uno sul livello di impatto della riservatezza, integrità e disponibilità delle informazioni o dei sistemi informativi disponibili nel cloud, l’altro sul modello di servizio cloud, che sulla base del modello utilizzato ad es. IaaS, PaaS o SaaS si identificano gli indicatori e controlli di sicurezza da applicare. Questi sistemi consentono sia di validare l’accesso a fornitori di servizi cloud per la il settore pubblico, sia di monitorarne la sicurezza.
Il modello cloud degli Stati Uniti ricorda molto gli approcci utilizzati in Italia e in altri paesi europei, ma gestito in tempi e punti di accesso differenti e sicuramente dovrà essere data maggiore attenzione a un coordinamento sulla sicurezza nazionale dei dati legata ai servizi cloud.
L’approccio europeo al cloud
L’Europa non si è fatta attendere è già per i programmi dell’Agenda Digitale che fissava gli obiettivi per il 2020 sono stati fatti dei grandi passi in avanti, sino ad arrivare a firmare un accordo per la creazione di una “federazione europea dei cloud”.
La maggior parte dei paesi europei hanno recepito la normativa europea e quindi già da diversi anni hanno adottato delle politiche di razionalizzazione dei data center e dei relativi costi. I modelli di servizio attuati sono molto simili e riprendono sempre dagli standard del NIST.
Ma è anche vero che in alcuni paesi non hanno definito politiche o strategie centrali reali per il cloud in sé. I principali sviluppi provengono quindi da alcune applicazioni standalone, senza una vera iniziativa in atto. In genere hanno comunque concentrato gli sforzi sulla diffusione della conoscenza del cloud nel settore pubblico, soprattutto per quanto riguarda gli aspetti legali.
Non parleremo dell’Italia perché tanto è stato detto e reso noto, ma riporteremo qualche esempio di come alcuni paesi europei stanno affrontato il cloud o la centralizzazione dei servizi in generale.
L’Olanda ha stabilito una strategia centrale per il cloud, che inizia con le infrastrutture cloud (e il consolidamento dei data center).
In Germania, è stato sviluppato il portale Trusted Cloud dal Ministero dell’economia e dell’energia che ha l’obiettivo di creare il punto di incontro tra fornitori e utenti, dando libertà di scelta alle PA sui servizi cloud da acquisire.
Il Belgio ha realizzato il programma G-Cloud che mette in relazione i servizi pubblici federali (SPF), le istituzioni pubbliche di sicurezza sociale (IPSS) e le organizzazioni di interesse pubblico (OIP). I servizi offerti sono in modalità IaaS e PaaS tramite una stretta collaborazione con fornitori privati.
In Portogallo oltre ad aver fatto degli accordi con dei player internazionali per accelerare la migrazione verso il cloud, ha recentemente lanciato l’Action Plan per la transizione digitale, dove viene descritto il quadro strategico necessario per l’adozione di strumenti cloud da parte della Pubblica Amministrazione, garantendo la sicurezza e la sovranità delle informazioni e dei dati, agevolando l’adozione di soluzioni di mercato, dando priorità ai servizi cloud resi disponibili dai fornitori e riducendo al minimo le personalizzazione e curando l’attenzione al fenomeno del vendor-lockin.
Anche la Francia ha lanciato la strategia nazionale per il cloud basata su tre politiche principali: la creazione di una nuova etichetta per i fornitori di servizi cloud affidabili, che mira a supportare l’uso dei migliori servizi cloud internazionali proteggendo i dati dei cittadini francesi e garantendo un elevato livello di sicurezza di tali dati. A tal fine, la strategia sottolinea che l’innalzamento del livello di protezione dei dati personali è una priorità per la strategia e che l’etichetta si baserà sul SecNumCloud Security Visa offerto dall’Agenzia nazionale per la sicurezza informatica della Francia; mettere al centro i servizi cloud e modernizzare l’azione pubblica attraverso l’uso delle tecnologie cloud; attuare una politica industriale, nell’ambito del programma France Relance, per consolidare la costruzione di nuovi strumenti e servizi cloud.
Infine il Regno Unito, fuori dalle regole dell’Europa, ha adottato un sistema di approvvigionamento globale, il G-Cloud, e un Digital Marketpace. Nel G-Cloud sono presenti circa 31.000 servizi, suddivisi in tre categorie: cloud hosting che contengono piattaforme o infrastrutture per l’elaborazione e l’archiviazione di dati, l’esecuzione di software o reti; software cloud con applicazioni; supporto cloud per aiutare a configurare e mantenere i servizi cloud. Tramite il Digital Marketplace, oltre ai servizi cloud, è possibile acquisire dei servizi specialistici digitali, sia sistemi che figure professionali specialistiche e servizi di hosting data center.
La Spagna ha sviluppato una strategia globale attraverso una rete e un’infrastruttura enunciata nella agenda digitale 2025 dando priorità alla fornitura di servizi basati su tecnologia cloud dai diversi dipartimenti dell’Amministrazione generale dello Stato, prima con risorse proprie e integrandoli con soluzioni del settore privato, ottenendo sinergie che si traducono in una migliore erogazione dei servizi, garantendo la sicurezza e la riservatezza dei dati personali dei cittadini. Allo stato attuale tramite il “portal administracion electronica” mettono a disposizione diversi servizi in modalità SaaS, tra cui l’anagrafe e la firma elettronica, ma poche offerte su servizi IaaS e PaaS.
Conclusioni
Per concludere, in attesa di conoscere gara che uscirà nei prossimi giorni per definire quali player privati-pubblici gestiranno il Polo Strategico Nazionale, sarà utile capire quali saranno i possibili tempi di applicazione e le modalità di migrazione necessari e soprattutto quale approccio verrà utilizzato per la sicurezza nazionale dei dati e delle informazioni a tutela di tutti i cittadini.
