In un panorama digitale in continua evoluzione, in cui la sicurezza dei dati è diventata un problema importante, quali sono i criteri da utilizzare per scegliere i fornitori di servizi cloud più affidabili? Ecco un approfondimento su 4 etichette essenziali per garantire la sicurezza dei sistemi informativi esternalizzati nel cloud.
Qualificazione SecNumCloud
L'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) assegna la prestigiosa qualifica SecNumCloud solo ai fornitori di servizi cloud che soddisfano i più severi criteri di sicurezza. Che si tratti di requisiti tecnologici, organizzativi o legali, sono più di 700 quelli elencati nelle linee guida dell'ANSSI. Concedendo l'approvazione di sicurezza, l'ANSSI certifica che i servizi cloud sono progettati e gestiti in modo tale da proteggere efficacemente i sistemi informativi dalle minacce informatiche e dalle interferenze esterne. La qualificazione di un servizio cloud da parte dell'ANSSI è un processo lungo e impegnativo, che di solito richiede tra i 18 e i 24 mesi. SecNumCloud viene poi assegnato per un periodo di tre anni, con un audit di sorveglianza annuale.
Sia per le organizzazioni private che per quelle pubbliche, la scelta di un Nuvola qualificata SecNumCloud garantisce le migliori pratiche in :
- ospitare dati sensibili
- la sicurezza degli scambi di dati
- gestione dei rischi per la sicurezza
- immunità dalle leggi extraterritoriali straniere
ℹ️ Sebbene altri Paesi europei abbiano le proprie certificazioni nazionali di sicurezza del cloud (C5 in Germania e ENS in Spagna), la qualifica SecNumCloud è considerata la più impegnativa in termini di isolamento operativo. Lo standard SecNumCloud potrebbe quindi essere il livello più alto di certificazione in EUCS, il futuro schema di certificazione europeo per i servizi cloud.
Certificazione HDS (società di hosting di dati sanitari)
La Certificazione HDS è stato concepito per rafforzare la protezione dei dati sanitari dei francesi e costruire un ambiente di fiducia intorno alla sanità elettronica e al monitoraggio dei pazienti. Implementata dall'Agenzia francese per la salute digitale (ANS), si applica a tutte le entità pubbliche o private che ospitano, gestiscono o eseguono il backup dei dati sanitari. Questa certificazione attesta che il fornitore di servizi è in grado di garantire la sicurezza e la riservatezza dei dati sanitari in conformità allo standard ISO 27001 (vedi sotto) e alle normative vigenti, in particolare il Regolamento europeo sulla protezione dei dati (RGPD) e la Legge francese sulla protezione dei dati (Loi Informatique et Libertés).
A seconda della loro area di attività, le organizzazioni e/o il loro provider di hosting possono ottenere un certificato per uno dei due ambiti:
- Il termine "provider di hosting di infrastrutture fisiche" si riferisce alla fornitura di spazi e attrezzature fisiche per ospitare i server e l'infrastruttura hardware dei clienti.
- Un "managed hosting provider" per la gestione/amministrazione di infrastrutture virtuali e software, amministrazione/operatività dei dati e back-up dei dati in outsourcing.
ℹ️ Attualmente è in corso una revisione degli standard HDS, che rafforzerà i requisiti di sovranità in termini di localizzazione dei dati e di trasparenza su qualsiasi trasferimento al di fuori dell'Unione Europea.
Certificazione ISO 27001
Questo standard internazionale definisce i requisiti per stabilire, implementare, mantenere e migliorare continuamente un sistema di gestione della sicurezza delle informazioni (ISMS) in grado di garantire la riservatezza, l'integrità e la disponibilità delle informazioni. Dà luogo a un audit condotto da una parte terza indipendente. La fase 1 dell'audit mira a valutare se l'organizzazione ha posto in essere i prerequisiti, come la documentazione ISMS, la politica di sicurezza delle informazioni e la valutazione dei rischi. Identifica eventuali lacune o aree da migliorare. L'audit di fase 2, più approfondito, valuta l'efficacia dell'ISMS, in particolare l'attuazione dei controlli di sicurezza, la gestione del rischio e i processi di gestione della sicurezza delle informazioni. La ISO 27001 prevede 114 controlli di sicurezza.
La certificazione ISO 27001, rilasciata per un periodo di tre anni, è confermata da audit di sorveglianza annuali.
ℹ️ La conformità allo standard ISO 27001 è considerata un fondamento che serve da base per altri standard, come SecNumCloud o HDS.
Il rapporto ISAE 3402
Creato dall'International Auditing and Assurance Standards Board (IAASB), l'ISAE 3402 è uno standard internazionale di assurance pensato per i fornitori di servizi (come i fornitori di servizi cloud o i data center) che vogliono dimostrare ai propri clienti l'affidabilità dei controlli di sicurezza interni che hanno messo in atto. Questo standard si traduce in un rapporto di assurance prodotto da un revisore esterno, che valuta i controlli interni dell'organizzazione in modo specifico, a seconda dei servizi forniti dall'azienda.
ℹ️ Esistono due tipi di livelli di controllo:
- Una relazione di tipo I, che attesti l'attuazione di controlli interni adeguati.
- Un rapporto di tipo II, che attesta l'efficacia operativa del controllo interno, con una valutazione effettuata su un periodo di osservazione di 12 mesi.
- A standard fornisce specifiche e criteri da rispettare per garantire la qualità, la sicurezza, l'interoperabilità o altri aspetti di un prodotto, servizio o sistema. Gli standard sono elaborati da organismi di normazione nazionali o internazionali.
- La certificazione si basa su un'analisi della conformità a un repository e su test di penetrazione effettuati da un valutatore terzo al momento T.
- La qualifica è ancora più esigente. Attraverso un audit approfondito, certifica che i prodotti sono conformi ai requisiti normativi, tecnici e di sicurezza a lungo termine. Attraverso il visto SecNumCloud, ANSSI fornisce garanzie agli utenti del cloud.