Strategia Cloud Italia, tutte le regole per applicarla in modo corretto - Agenda Digitale

Lo scenario

Strategia Cloud Italia, tutte le regole per applicarla in modo corretto

Elemento prioritario per la trasformazione digitale della PA, la strategia Cloud Italia si articola su tre linee di indirizzo operative: vediamo quali sono e in che modo concretizzare i principi espressi nel documento

24 Nov 2021
Andrea Tironi

Project Manager - Digital Transformation

Il cloud è elemento fondamentale per la trasformazione digitale della PA, uno degli obiettivi prioritari del PNRR. Al riguardo, il Ministero dell’Innovazione tecnologica e transizione digitale ha assunto la governance del progetto e ha pubblicato la strategia Cloud Italia nel secondo semestre 2021.

Approfondiamo le sedici pagine della strategia partendo dal suo cuore, ovvero il dato da proteggere, riorganizzando e spiegando il documento presentato in modo da capire come usarlo operativamente.

Strategia cloud Italia, l’antefatto

La strategia cloud della PA nasce qualche anno fa, ed era fino a poche settimane fa in capo ad Agid: prevedeva un percorso di qualificazione per i soggetti pubblici e privati che intendevano fornire infrastrutture e servizi Cloud alla Pubblica amministrazione, affinché queste ultime potessero adottare servizi e infrastrutture di cloud computing omogenei, che rispettino elevati standard di sicurezza, efficienza e affidabilità, in linea con le previsioni delle circolari AgID n.2 e n. 3 del 9 aprile 2018.

WEBINAR
1 Dicembre 2021 - 12:00
WEBINAR - Presente e futuro dello Smart Working nei risultati di una Survey
Digital Transformation
Risorse Umane/Organizzazione

All’interno della strategia Cloud, AGID aveva definito il modello “Cloud della PA”, che si componeva di:

  • servizi qualificati: SaaS (software as a service), IaaS (Infrastructure as a service), PaaS (Platform as a service)
  • infrastrutture qualificate: Cloud service provider, Cloud SPC Lotto 1, Poli strategici nazionali

Dal primo aprile 2019 la Pubblica Amministrazione avrebbe dovuto acquisire solo servizi cloud qualificati e pubblicati sul “Catalogo dei servizi Cloud qualificati per la PA” (Cloud marketplace AgID). Le PA fanno del loro meglio, ma non sempre seguono quanto indicato e la pratica di controllare il marketplace Agid (ovvero il “Catalogo dei servizi Cloud qualificati per la PA”) è diventata una buona pratica ma non un “must” per la PA. Si è poi progressivamente evidenziato come entrare nel marketplace Cloud Agid è una mera “autocertificazione” di requisiti e non un controllo specifico e puntuale dei requisiti dei fornitori. Quindi la PA che acquisisce verificando prima il marketplace (dal quale non può comprare ma solo leggere cosa viene fornito ed è certificato da Agid) sa che il fornitore ha autocertificato una serie di caratteristiche, e sa anche che Agid le ha verificate formalmente ma non sul campo.

Cloud, l’infrastruttura non basta: ecco le priorità per trasformare le organizzazioni

Gli indirizzi della strategia Cloud Italia

La strategia Cloud per la PA si basa sulle seguenti linee di indirizzo strategico:

  1. Classificazione dei Dati e dei Servizi: definizione di un processo di classificazione dei dati per guidare e supportare la migrazione dei dati e servizi della PA sul Cloud;
  2. Qualificazione dei Servizi Cloud: realizzazione di un processo sistematico di scrutinio e qualificazione dei servizi Cloud utilizzabili dalla PA:
  3. Polo Strategico Nazionale: creazione di un’infrastruttura nazionale per l’erogazione di servizi Cloud, la cui gestione e controllo siano autonomi da soggetti extra UE.

Classificazione dei Dati e dei Servizi

Lo scopo è dividere i dati per la tipologia di danno che potrebbe causare la loro compromissione:

  • Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale;
  • Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese;
  • Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese.

I dati e servizi classifica nell’ambito del “Piano sicurezza nazionale cybersicurezza” (PSNC) verranno classificati come strategici, quelli sanitari come critici, mentre dati e servizi relativi a portali istituzionali delle amministrazioni saranno classificati come ordinari.

La classificazione permetterà anche di decidere poi dove mettere il dato.

Qualificazione dei servizi cloud

I servizi cloud saranno qualificati secondo le dimensioni:

  • gestione operativa dei servizi Cloud, con dettaglio sugli standard tecnico-organizzativi applicati e sulle misure di controllo sui dati;
  • requisiti di sicurezza applicati nella gestione dei dati ed erogazione di servizi, quali le modalità di gestione delle chiavi di cifratura e i controlli di sicurezza applicati;
  • condizioni contrattuali applicate all’erogazione del servizio (Service-Level Agreement, SLA) e alla sua rendicontazione, quali le garanzie di disponibilità e altri strumenti contrattuali a disposizione delle amministrazioni.

e così suddivisi:

  • pubblico non qualificato (extra ue / ue)
  • pubblico (ue)
  • pubblico criptato (it)
  • privato/ibrido “su licenza” (it)
  • privato (it)

La qualificazione dei servizi

Sulla base dell’analisi delle soluzioni tecnologiche e organizzative disponibili sul mercato, i tre aspetti di analisi permettono di individuare a priori la qualificazione dei servizi Cloud riportata di seguito.

  • I servizi di Cloud Pubblico non qualificato (extra UE/UE), ovvero quei servizi che non rispondono ai criteri tecnico-organizzativi e normativi individuati in precedenza.
  • I servizi di Cloud Pubblico qualificato (UE) compatibili con legislazioni rilevanti in materia (es. GDPR e NIS) che consentono la localizzazione dei dati in UE e il rispetto di requisiti di sicurezza tecnico organizzativi, tipicamente sulla base di sistemi di cifratura granulare gestiti dal fornitore CSP10. 9 Ad esempio gli standard internazionali ISO 27017/27018, ISO 22301 e CSA STAR. 10 Tali servizi possono includere sistemi di gestione delle chiavi (KMS) realizzati con moduli hardware (HSM).
  • I servizi di Cloud pubblico con controllo on-premise dei meccanismi di sicurezza, c.d. Cloud Pubblico Criptato (IT), che consentono di incrementare significativamente il livello di controllo sui dati e servizi, introducendo un maggior livello di autonomia dai CSP extra-UE nella gestione operativa e il controllo delle infrastrutture tecnologiche.
  • Soluzioni di Cloud privato e ibrido, infine, permettono la localizzazione dei dati in Italia e maggior isolamento dalle regioni pubbliche dei principali CSP. Tali garanzie di autonomia sono ottenute mediante la gestione operativa da parte di un fornitore soggetto a vigilanza e monitoraggio pubblico. Queste implementazioni si possono distinguere tra: ○ soluzioni basate su tecnologia hyper scaler licenziata da uno o più CSP, c.d. Cloud privato/ibrido “su licenza” (IT), oppure ○ soluzioni basate su tecnologie commerciali qualificate mediante procedure di scrutinio e certificazione tecnologica, c.d. Cloud Privato Qualificato (IT).

Classificazione dei dati e qualificazione dei servizi

I servizi Cloud qualificati potranno essere utilizzati, in accordo alla classificazione dei dati, con i seguenti vincoli:

  • le offerte di Cloud Pubblico Qualificato e Pubblico Criptato, potranno ospitare dati e servizi ordinari;
  • le offerte di Cloud Pubblico Criptato, Privato/Ibrido “su licenza“ e Privato Qualificato potranno ospitare dati e servizi critici;
  • le offerte di Cloud Privato/Ibrido “su licenza“ e Privato Qualificato potranno ospitare dati e servizi strategici;

Lo schema seguente spiega bene questo collegamento tra dati e localizzazione.

Il ruolo del PSN

I Poli Strategici Nazionali sono un nome che gira nella PA da molto ma che non si è riusciti a concretizzare in datacenter per la PA in cui convogliare in sicurezza i dati della PA stessa. Ora PSN diventa singolare, ovvero diventa un Polo Strategico Nazionale (su più data center localizzati sul territorio nazionale, 2 a nord e 2 a sud), ovvero un centro di “stoccaggio” dati e elaborazione su cui ospitare i dati della PA. Sul PSN che dati potranno andare, rispetto alla classificazione precedente? (lo vediamo nell’immagine successiva).

Il PSN ospiterà quindi i dati critici e strategici. Il programma della realizzazione del PSN prevede le seguenti tempistiche:

  • entro fine 2021: pubblicazione bando di gara per la realizzazione del PSN
  • entro fine 2022: aggiudicazione gara e realizzazione PSN
  • da fine 2022: inizio migrazione verso il PSN da completare entro il 2025

L’importanza del PSN è indicata anche dalle numerose cordate che si stanno delineando per poter partecipare alla gara. Ad esempio ci riferiamo a Almaviva-Aruba o CDP-Sogei Leonardo-TIM. Ora che abbiamo capito come si classificano teoricamente i dati (strategici, critici e ordinari) e come si posizionano sui vari cloud (pubblico non qualificato, pubblico (ue), pubblico criptato (italia-psn), privato/ibrido su licenza (italia-psn) e privato (italia-psn), consegue una ulteriore domanda operativa.

La classificazione dei dati

Il documento dice: “La pubblica amministrazione dovrà affrontare un processo di classificazione dei propri dati che non potrà prescindere dalla responsabilizzazione del soggetto pubblico e permetterà di individuare e catalogare i dati e i servizi gestiti, applicando poi una categorizzazione rispetto agli impatti di eventuali compromissioni, dei vincoli normativi e di sicurezza, che porterà a capire se i dati sono ordinari, critici, strategici in base a se si è una pa locale o centrale”. La singola PA dovrà aiutare nella classificazione, secondo le dimensioni di categorizzazione viste per i vari cloud, ma poco si capisce del come. In effetti essendo un documento strategico questo è abbastanza normale. Quello che è chiaro, è come è consigliata la classificazione per PA locale e centrale: In particolare i dati della PA locale verranno trattati in maniera diversa dalla PA Centrale come segue.

Chiara è anche, per la parte di classificazione, la parte di coinvolgimento del Ministero Innovazione e dell’Agenzia per la Cybersicurezza Nazionale.

Conclusioni

Il piano cloud è ambizioso e punta a costruire l’ormai mitologico PSN, più che fondamentale per consolidare gli 11.000 datacenter della PA ma soprattutto i loro dati, secondo criteri di importanza del dato e impatto della loro compromissione, in un contesto internazionale dove gli attacchi cyber aumentano compromettendo la sovranità degli stati. Inoltre dà una classificazione del tipo di dato e del tipo di cloud, associandoli in maniera logica e strutturata. La parte da comprendere meglio in futuro sarà la parte di censimento e classificazione dei dati della PA, che in teoria dovrà avvenire entro fine 2022.

Di seguito lo schema finale del ragionamento effettuato.

In questo quadro andrà capito come si posiziona il MarketPlace Agid e la classificazione effettuata a suo tempo di data Center di fascia A,B,PSN che al momento non è nominata e la cui scadenza del 30.09.2021 (presa dal piano Triennale) è sfumata per l’assenza del PPM (portale di inserimento del piano di migrazione al cloud) che doveva essere usato dai data center classificati come B. Non dimentichiamo inoltre che la strategia futura dovrà coprire tutte le PA, mentre la strategia passata era riuscita a classificare come A,B,PSN solo le PA che spontaneamente avevano effettuato il censimento del proprio datacenter (o server nel sottoscala).

WHITEPAPER
La Logistica 4.0 è paperless: resta competitivo con le piattaforme digitali
Dematerializzazione
Legal
@RIPRODUZIONE RISERVATA

Articolo 1 di 4