Disporre di tutte le risorse IT necessarie dove servono, quando servono e senza nessuna limitazione di tempo e di spazio. Sono questi i sogni e le promesse del Cloud Computing.
Massimiliano Cassinelli
Ingegnere
Progettista reti TLC
Disporre di tutte le risorse IT necessarie dove servono, quando servono e senza nessuna limitazione in termini di tempo e di spazio. Sono questi i sogni e le promesse del Cloud Computing.
Un'opportunità sempre più apprezzata dalle aziende italiane, come conferma l'Osservatorio Anfov - l'Associazione per la convergenza nei servizi di telecomunicazione - prevedendo una netta crescita
Al punto che, nel mercato business a livello globale, i servizi Cloud nel 2012 costituiranno il 9% del mercato totale It.
Il che equivale, in Europa occidentale, a circa 7 miliardi di euro, di cui quasi 400 milioni solo in Italia.
Tutta la potenza che serve
Al di là del mercato, e delle relative tendenze, per chi sceglie di sfruttare una simile opportunità nell'ambito della sicurezza e, nello specifico, della videosorveglianza, è opportuno conoscere meglio le caratteristiche del Cloud Computing.
Questo in considerazione del fatto che sottoscrivere servizi Cloud significa acquistare, da un fornitore di servizi, una serie di risorse e di applicazioni.
All'atto pratico ciò implica, in primo luogo, che i dati non risiedono più sui server “fisici” dell'utente, ma su quelli del fornitore.
In pratica questo comporta di sfruttare una risorsa condivisa da più utenti, pagando solo l'effettivo utilizzo di tale risorsa.
Per tale ragione sono fondamentali i requisiti di sicurezza e l'affidabilità, nel tempo, del proprio fornitore.
Un ulteriore aspetto da valutare con attenzione è legato al fatto che tutte le comunicazioni avvengono, necessariamente, attraverso la rete pubblica di telecomunicazione.
Le caratteristiche, in termini di larghezza di banda e qualità del servizio, di quest'ultima rappresentano quindi una discriminante.
È infatti immediato comprendere che, poiché l'accesso avviene esclusivamente via Web, la mancanza di connessione implica l'impossibilità di utilizzare un servizio o di accedere ai propri dati.
Allo stesso modo una limitata quantità di banda disponibile, o la necessità di ritrasmettere alcuni dati attraverso la rete, comporta un decadimento delle prestazioni che potrebbe essere intollerabile proprio nella videosorveglianza e nei sistemi di analisi delle immagini.
Alla luce di queste condizioni, il vantaggio principale offerto dal Cloud Computing è ovviamente rappresentato dalla flessibilità del servizio e dello spazio disponibile.
Questo significa, all'atto pratico, che è possibile acquistare, in ogni momento, spazio su disco, capacità di elaborazione o servizi in funzione delle esigenze contingenti. Il tutto senza dover affrontare ingenti investimenti iniziali, immobilizzazioni o elevati costi di manutenzione e aggiornamento.
Non solo vantaggi
Esternalizzare i dati in remoto, come abbiamo visto, offre significativi vantaggi, soprattutto nell'ambito della videosorveglianza.
Questo perché il numero delle videocamere può essere aumentato senza limiti, anche per un tempo limitato, senza dover valutare l'impatto sui sistemi informatici.
Così come è possibile sfruttare software di analisi delle immagini stesse che risiedono in una località remota e in un ambiente gestito da professionisti del settore.
Non possiamo però trascurare il fatto che, accanto a questi vantaggi, esistono una serie di limiti e di problematiche che devono essere conosciute e affrontate con la necessaria attenzione.
Per questa ragione, volendo sfruttare il Cloud Computing nell'ambito della videosorveglianza, è necessario porsi le seguenti domande:
- dove risiedono i propri dati digitali e quelli dei clienti?
- a quando risale l'ultimo back-up?
- il back-up è stato fatto su tutte le immagini?
- in caso di problemi, esiste la certezza di poter ripristinare tutti i dati e le immagini necessarie?
- è stato installato un efficace sistema antivirus?
- è stato installato un sistema per rilevare eventuali “malware”?
Le risposte a simili domande sono tutt'altro che scontate e assumono una rilevanza fondamentale proprio alla luce dell'importanza raggiunta dalle tecnologie digitali nell'ambito della sicurezza.
Tutto questo soprattutto alla luce del fatto che è fondamentale avere la consapevolezza dei rischi di di furto, intrusione o manomissione che possono verificarsi durante lo scambio di dati digitali attraverso la rete pubblica.
A prova di Privacy
Nell'impiego delle soluzioni di Cloud Computing, per la gestione delle immagini riprese dai sistemi di videosorveglianza, diventa quindi fondamentale fare riferimento al pronunciamento dell'8 aprile 2010 del Garante per la protezione dei dati personali.
In particolare, nel documento, si sottolinea come “i dati raccolti mediante sistemi di videosorveglianza devono essere protetti con idonee e preventive misure di sicurezza, riducendo al minimo i rischi di distruzione, di perdita, anche accidentale, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini”. Tutte situazioni che, come intuibile, devono essere valutate con estrema attenzione proprio nell'utilizzo delle tecnologie di Cloud Computing.
Anche per questa ragione lo stesso Garante ha ribadito come “laddove i sistemi siano configurati per la registrazione e successiva conservazione delle immagini rilevate, deve essere altresì attentamente limitata la possibilità, per i soggetti abilitati, di visionare non solo in sincronia con la ripresa, ma anche in tempo differito, le immagini registrate e di effettuare sulle medesime operazioni di cancellazione o duplicazione”.
Lo stesso Garante della Privacy ha posto una particolare attenzione ai rischi connessi alla trasmissione delle immagini attraverso le reti di telecomunicazione, ribadendo come gli apparati utilizzati in questo ambito debbano essere “protetti contro i rischi di accesso abusivo”.
In particolare, come si legge nel documento, “la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza”.
All'atto pratico, quindi, non vengono posti, a priori, limiti all'utilizzo delle soluzioni di Cloud Computing, mentre emerge una particolare attenzione proprio al fatto che le reti di comunicazione pubblica appaiono, per molti versi, vulnerabili.
Diventa quindi necessario assumere una serie di cautele specifiche, proprio con l'obiettivo di tutelare la fase di trasmissione delle immagini.
In un documento dello scorso anno, dedicato in modo specifico al Cloud Computing, lo stesso Garante ha però ribadito l'importanza di valutare con estrema attenzione il proprio fornitore: “Alcune informazioni che si intende inserire sui sistemi del fornitore di servizio, per loro intrinseca natura possono esigere particolari misure di sicurezza. In tali casi, poiché dal relativo inserimento nella cloud consegue comunque una attenuazione, seppur parziale, della capacità di controllo esercitabile dall'utente, ed una esposizione di tali informazioni a rischi non sempre prevedibili di potenziale perdita o di accesso non consentito, l'utente medesimo dovrebbe valutare con responsabile attenzione se ricorrere al servizio di cloud computing oppure mantenere in
house il trattamento di tali tipi di dati”.
Un'indicazione ulteriormente rafforzata dal fatto che la stessa Autorità ha ribadito l'importanza di informarsi su dove risiederanno, concretamente, i dati: “Sapere in quale Stato risiedono fisicamente i server sui quali vengono allocati i dati, è determinate per stabilire la giurisdizione e la legge applicabile nel caso di controversie tra l'utente e il fornitore del servizio. La presenza fisica dei server in uno Stato comporterà per l'autorità giudiziaria nazionale, infatti, la possibilità di dare
esecuzione ad ordini di esibizione, di accesso o di sequestro, ove sussistano i presupposti
giuridici in base al singolo ordinamento nazionale. Non è, quindi, indifferente per l'utente sapere se i propri dati si trovino in un server in Italia, in Europa o in un imprecisato Paese extraeuropeo. In ogni caso, l'utente, prima di inserire i dati nella nuvola informatica, dovrebbe assicurarsi che il trasferimento tra i diversi Paesi in cui risiedono le cloud avvenga nel rispetto delle cautele previste a livello di Unione europea in materia di protezione dei dati personali, che esigono particolari garanzie in ordine all'adeguatezza del livello di tutela previsto dagli ordinamenti nazionali per tale
tipo di informazioni”.
Pubblica o privata?
Alla luce di questi pronunciamenti, volendo sfruttare i vantaggi offerti dal Cloud Computing, è opportuno valutare la possibilità di utilizzare un servizio di tipo pubblico o privato, in grado di utilizzare parte dei vantaggi, ma senza alcuni limiti.
Nello specifico, infatti, una private cloud (o nuvola privata) utilizza le infrastrutture informatiche proprie di una singola organizzazione che, quindi, si trovano all'interno dei locali di proprietà.
O, in alternativa, sono state affittate alla gestione di un'azienda specializzata, di cui si conosce l'esatta ubicazione fisica delle apparecchiature, sfruttando il cosiddetto hosting.
In questo caso, infatti, le macchine sono dedicate a un unico cliente, anche se accessibili da più sedi e, per molti versi, paragonabili ad un tradizionale data center installato all'interno della propria proprietà.
A differenza di quest'ultimo, però, vengono adottati una serie di accorgimenti per ottimizzare le risorse disponibili, potenziandole eventualmente con investimenti contenuti e attuati progressivamente nel tempo. In questo modo, inoltre, utente può effettuare un controllo più puntuale e fornire certezze sull'ubicazione fisica delle immagini registrate e dei relativi sistemi di elaborazione. Anche se è necessario affrontare l'investimento iniziale per l'acquisto dell'hardware.
Al contrario, nel caso delle public cloud, l'infrastruttura è di proprietà di un fornitore
specializzato nell'erogazione di tali servizi, che condivide le propri risorse, fisiche e virtuali, con più soggetti.
Questo significa che una serie di dati, fatti transitare attraverso il Web, vengono gestiti e memorizzati dal fornitore stesso.
Quest'ultimo, quindi, deve fornire una serie di garanzie, verificabili, sulle misure adottate per garantire la protezione dei dati che gli sono stati affidati e sulla possibilità, per il titolare, di potervi accedere in qualunque istante. Il tutto senza dimenticare che, proprio in considerazione della complessità delle infrastrutture utilizzate, le macchine potrebbero trovarsi anche fuori dai confini nazionali, quando non di quelli continentali.
Con il rischio che le immagini riprese vengano spostate da un luogo all'altro, senza nemmeno informare il titolare dell'esatta ubicazione.
Una situazione che potrebbe comportare implicazioni anche dal punto di vista legale, in quanto alcuni dati sensibili non possono risiedere al di fuori dei confini comunitari.
Anche alla luce di tali considerazioni, il mercato propone oggi una serie di alternative tra le private e le public cloud.
Si tratta delle cosiddette hybrid cloud, che prevedono l'utilizzo di servizi erogati da infrastrutture di proprietà accanto a servizi acquisiti da cloud pubbliche.
A questo si aggiungono le community cloud, in cui l'infrastruttura è condivisa da diverse organizzazioni a beneficio di una specifica comunità di utenti.
Il decalogo del Cloud
La scelta di sottoscrivere un servizio di Cloud Computing deve partire da un attento confronto tra rischi e benefici dei servizi offerti.
Per questa ragione è opportuno:
- effettuare una verifica in ordine all'affidabilità del fornitore
- privilegiare i servizi che favoriscono la portabilità dei dati da un fornitore a un altro
- assicurarsi la disponibilità dei dati in caso di necessità
- selezionare i dati da inserire nel cloud, differenziandoli da quelli che devono essere tenuti in azienda
- non perdere di vista i dati
- informarsi su dove risiederanno, concretamente, i dati
- prestare attenzione alle clausole contrattuali
- verificare le politiche di persistenza dei dati legate alla loro conservazione
- esigere opportune cautele per tutelare la confidenzialità dei dati