Per un’azienda che si occupa di servizi IT, le Certificazioni rappresentano un fattore fondamentale. Il riconoscimento esterno della soddisfazione di criteri e standard è, infatti, una condizione che fornisce visibilità e fiducia nei potenziali clienti ed una garanzia di affidabilità ed attenzione verso i propri utenti. Per il conseguimento di una certificazione, un’azienda deve passare attraverso gli Audit, ovvero le varie analisi delle macroaree individuate dall’ente certificatore.
Grazie alle Certificazioni, un’azienda potrà quindi fornire ancora più garanzie ai propri clienti, piccoli o grandi che siano, in fatto di servizi, protezioni, infrastrutture e molto altro. Non tutti gli standard, però, sono uguali, per questo è necessario passarle una ad una sotto la lente d’ingrandimento per sottolineare l’importanza di ciascuna di esse.
ISO 27017
Questo standard è riferito ai controlli di sicurezza delle informazioni per la fornitura e l’utilizzo di servizi Cloud, ovvero l’insieme di servizi IaaS, SaaS e PaaS erogati da service provider. Ciò significa che l’azienda titolare della certificazione fornisce garanzie di alto livello per quel che riguarda la protezione dei dati di coloro che acquistano e/o utilizzano i servizi Cloud erogati.
Come tutti gli standard conseguibili da un fornitore di servizi IT, anche questo ha come beneficio quello di aumentare la fiducia nei clienti che vi si rivolgono. Quando un’azienda titolare di dati privati si affida ad un provider, essa metterà le suddette informazioni nei data center di un soggetto terzo, che dovrà necessariamente garantire un alto livello di controllo delle stesse. Lo standard ISO 27017 dà questa certezza.
Per ottenerlo è necessario passare da 37 controlli ed una serie di procedure per abbassare al minimo i rischi riguardanti la sicurezza delle informazioni dei servizi cloud-based. Queste garanzie ovviamente devono poi essere enunciate anche nei contratti per la sottoscrizione dei servizi. Come si può intuire, non ci sono moltissime differenze con gli standard ISO 27001, ma in questo caso ci sono alcuni fattori di integrazione.
Tra essi, è possibile elencare:
- Condivisione delle responsabilità circa la protezione dei dati. Se già il provider fornisce garanzie, esse devono essere messe in chiaro anche dall’utente verso i suoi clienti;
- Cancellazione e restituzione dei dati ai clienti alla cessazione del rapporto;
- Garanzia di accorgimenti tecnici per la protezione delle macchine virtuali;
- Monitoraggio costantemente garantito al cliente;
- Garanzia, da parte del provider, di adottare policy di sicurezza uniformi sia sulle reti fisiche che su quelle virtuali;
- Obbligo di separare le risorse del cliente da quelle altrui, comprese quelle dello stesso provider.
Quando si parla di standard ISO 27017, quindi, si intende l’attestazione di conformità a linee guida che fanno parte della serie di norme della ISO 27001 (certificazione approfondita in un recente articolo). La differenza sta nella descrizione, che traccia una serie di best practices raccomandate, quindi non obbligatorie. Ovviamente conseguire ed accertare l’adozione di queste procedure costituisce un vantaggio agli occhi dei clienti già presenti e per attirarne di nuovi.
Il conseguimento dei due standard ISO 27017 e 27018, per un service provider, è il viatico per ricevere anche la qualifica di CSP (Cloud Service Provider) accreditato da AgID per la vendita di servizi IaaS, SaaS e PaaS per le Pubbliche Amministrazioni all’interno del Cloud Marketplace.
Dal 2019 Genesys Informatica, holding proprietaria del marchio Hosting Solutions, dispone anche della certificazione ISO/IEC 27017 appena descritta, che le permette di garantire a tutti i suoi clienti le migliori policy riguardanti la sicurezza delle informazioni. Essa si associa alla certificazione ISO/IEC 27018, che verrà approfondita nel prossimo articolo.