Orientarsi in un panorama normativo in evoluzione grazie al compliant cloud

Le aziende si trovano ad affrontare una moltitudine di preoccupazioni relative ai loro dati, un elemento centrale per i loro processi aziendali. Vogliono sapere dove sono archiviati i loro dati, chi può accedervi e quando e da chi sono state apportate le modifiche. Inoltre, diversi tipi di dati richiedono diversi livelli di riservatezza: alcuni sono estremamente riservati, mentre altri possono essere visti da tutti.

La crescente complessità delle normative impone alle aziende di affrontare queste sfide. Le norme sulla privacy e sulla sicurezza dei dati variano infatti in base al tipo di organizzazione, ai suoi obiettivi e alle sue dimensioni. Alcune sono specifiche per il settore, mentre altre dipendono dal Paese. Ad esempio, due importanti normative europee recenti sono la NIS2 (che rafforza la sicurezza dei Network and Information Systems) per le realtà considerate essenziali e importanti e la DORA (Digital Operational Resilience Act) per le entità finanziarie come banche, compagnie assicurative e società di investimento.

Cercare di affrontare questi problemi porta le aziende a scontrarsi con un panorama normativo complesso. Le normative sulla privacy e sulla sicurezza dei dati variano infatti in base alla tipologia, agli obiettivi, al settore e alle dimensioni dell'organizzazione. Alcune sono specifiche per il settore, mentre altre dipendono dal Paese. Ad esempio, due importanti normative europee recenti sono la NIS2 (Enhancing the security of Network and Information Systems) per le entità essenziali e importanti e la DORA (Digital Operational Resilience Act) per le entità finanziarie come banche, compagnie assicurative e società di investimento.

Raggiungere e mantenere la conformità in un panorama normativo in continua evoluzione può essere un compito arduo. Inoltre, le aziende devono dimostrare all'ente normativo di essere conformi. Ciò significa che le organizzazioni che utilizzano i servizi cloud devono ottenere dal loro provider la prova che le normative pertinenti sono rispettate. In altre parole, hanno bisogno di un compliant cloud. Ciò include anche concetti come la sovranità, che spesso viene vista come un ambiente cloud fisicamente situato all'interno di un Paese o di una regione specifici per rispettare le normative locali. Oggi non esiste una lista di controllo o un timbro di approvazione ufficiale, né un audit o una certificazione formale che possa attestare all'utente finale che si sta interfacciando con un cloud sovrano. Quindi, spesso diventa più che altro un'“idea di marketing” che varia da un'azienda all'altra.

Sentirsi tranquilli con il Compliant Cloud

“Il Compliant Cloud di Cegeka fornisce ai clienti la guida necessaria per orientarsi efficacemente tra i requisiti normativi”. Tutto sta nella nostra adattabilità a soddisfare le esigenze dei clienti, implementando diverse landing zone. Forniamo queste garanzie nei nostri data center privati, su Microsoft Azure e sull'infrastruttura privata dei nostri clienti. Forniamo un'attenta assistenza nella categorizzazione dei dati in base ai requisiti specifici del cliente, come ad esempio il luogo in cui i dati vengono archiviati o elaborati. Inoltre, garantiamo la trasparenza necessaria per mantenere la conformità durante l'intera operazione.

Per supportare questa conformità, Cegeka ha sviluppato un framework di controllo sia di processo che di prodotto. Questo Multi Compliance Framework si basa sugli standard internazionali ISO 9001, ISO 27001, ISO 27002, ISO 14001, Uptime Tier III, ISAE 3000 Trust Services Criteria (TCS) e GDPR. Il nostro framework di controllo comprende già oltre 140 controlli, che coprono normative come NIS2 e DORA, e ne aggiungiamo continuamente altri. Inoltre, la nostra roadmap tiene già conto della conformità con il C5 e di normative imminenti come l'EU AI Act e lo schema EUCS per i servizi cloud. 

Quando un cliente ha bisogno di servizi cloud conformi a una normativa specifica, noi gli garantiamo che i servizi utilizzati sulle nostre piattaforme cloud rispettino i controlli di conformità all'interno del nostro framework di controllo. Siamo sottoposti a verifiche periodiche da parte di terzi e i certificati e i report di garanzia sono a disposizione dei nostri clienti. Ogni anno i clienti sottoposti a revisione ricevono un report di garanzia ISAE 3000 (SOC2) di tipo II. Possono presentarlo alle autorità di regolamentazione come prova che i loro dati e i servizi forniti nel cloud sono trattati in conformità alle normative vigenti. Naturalmente, oltre alle garanzie che forniamo sui servizi cloud utilizzati, i clienti devono comunque effettuare la propria analisi dei rischi e assumersi le proprie responsabilità in merito alla normativa.

Migliorare la trasparenza attraverso l'osservabilità

All'interno della nostra piattaforma digitale di customer engagement, Horizon, stiamo pianificando la creazione di più dashboard che forniscano ai clienti e ai loro enti regolatori visibilità in tempo reale sulla loro security posture e sulla loro conformità, visualizzando lo stato di ogni controllo del nostro Multi Compliance Framework. Questo migliora la trasparenza e permette ai nostri clienti di controllare in tempo reale l'effettiva conformità delle nostre piattaforme e servizi cloud. La nostra piattaforma Horizon ci aiuta a rendere più trasparente questo mondo iperconnesso e regolamentato.

Le prove possono essere ottenute attraverso un processo automatizzato o un intervento manuale, a seconda del caso d'uso del controllo. Esempi di processi automatizzati sono l'esecuzione di backup secondo il piano di backup, l'attivazione di un incidente quando un backup non ha successo o la rapida eliminazione di un account utente di un collega sia dall'Active Directory del cliente che dal cloud pubblico. La verifica dei processi manuali, altrettanto critici, dipende dalle competenze e dall'esperienza di specialisti certificati. Ciò include attività come la revisione annuale del piano di backup o del piano di disaster recovery, nonché l'esecuzione del processo di disaster recovery su base annuale.

L'osservabilità è qualcosa che forniamo al di là del livello dell'infrastruttura. Nella nostra roadmap di sviluppo, diamo priorità all'Osservabilità come ambito fondamentale per il miglioramento delle competenze. Utilizziamo diverse tecnologie che si adattano alle esigenze e alle architetture specifiche dei nostri clienti. Questo approccio completo mira a migliorare tutti gli aspetti del processo di sviluppo, dalla gestione dell'infrastruttura allo sviluppo dell'applicazione, garantendo una catena end-to-end completa ed efficace.  Grazie all'acquisizione da parte di Cegeka di Key-Performance, un partner di Dynatrace, la nostra osservabilità si estende oltre le metriche standard come il tempo di attività del sistema, le prestazioni e i tempi di risposta. In questo modo l'osservabilità, in combinazione con le nostre soluzioni avanzate di sicurezza informatica, aiuta a rilevare e prevenire qualsiasi accesso non autorizzato o dannoso, dall'infrastruttura all'applicazione e ai dati, nonché qualsiasi errore o anomalia che possa compromettere la qualità o l'integrità dei dati.

Rafforzare la resilienza aziendale 

Siamo convinti sostenitori di un ambiente multi-cloud. Indipendentemente dalla tua attuale piattaforma cloud, dovresti avere la capacità di spostare rapidamente le tue applicazioni e i tuoi dati su un'altra piattaforma quando necessario, ad esempio per motivi geopolitici o per beneficiare delle funzionalità (aggiuntive) di un determinato modello cloud. Gli enti normativi richiedono sempre più spesso prove concrete di strategie di uscita dagli ambienti cloud, oltre a poter dimostrare di saper aggirare il vendor lock-in per ridurre le dipendenze aziendali. Questi imperativi sono essenziali per promuovere la resilienza aziendale, in particolare quando ci si muove in complessi ambienti regolamentati.

Ad esempio, con KubePort, la piattaforma cloud-native managed container di Cegeka, poniamo le basi per questa strategia di uscita. KubePort è cloud-agnostic, consentendo di scegliere tra l'infrastruttura on-premise di Cegeka (cloud privato) e l'infrastruttura cloud pubblica di Microsoft Azure. Il risultato finale è che i clienti possono mantenere la loro attività operativa indipendentemente dalle sfide che devono affrontare. Compliant Cloud non solo aiuta a raggiungere la conformità e la sicurezza, ma rafforza anche la resilienza aziendale.

Vuoi scoprire di più sul Compliant Cloud? Contattaci