È possibile coniugare evoluzione tecnologica e conformità normativa?

La parola a F5 Networks

A cura di David Warburton, Senior Threat Research Evangelist EMEA, F5 Networks

Il mondo digitale, sempre più senza confini, pone le aziende di fronte a un bivio obbligato: da una parte la normativa sulla privacy, che non è mai stata più impegnativa, dall’altra i propri sistemi a volte obsoleti e con policy inadeguate che non aiutano a rispettare le nuove regolamentazioni.

Tutto questo pone le aziende davanti a un periodo di transizione complesso, ulteriormente complicato dall’avvento di tecnologie come il multi-cloud, ma rimandare il cambiamento oggi non è più un’opzione praticabile. Come conferma il report FOMC (Future of the Multi-Cloud) di F5, realizzato da Foresight Factory, i prossimi cinque anni saranno cruciali per le imprese se vorranno affrontare le sfide e cogliere le opportunità future.

‘Il cloud non è un Paese’

Le diverse regolamentazioni sulla protezione dei dati costringono sempre più le aziende multinazionali a considerare le declinazioni delle norme locali prima di entrare sul mercato. Si potrebbe pensare che i dati esistano senza confini, ma il vecchio cliché “Il cloud è solo il computer di qualcun altro” ci ricorda che i nostri dati risiedono semplicemente su un disco fisso in un’altra Nazione, in un Paese con le proprie leggi e regole, che possono spesso entrare in conflitto con quelle dello Stato di origine dell’organizzazione.

Le aziende che conservano i dati dei clienti italiani negli Stati Uniti, ad esempio, potrebbero dover fare i conti sia con il Cloud Act statunitense sia con il regolamento generale sulla protezione dei dati (GDPR) dell’UE; e quale legge abbia la precedenza non è sempre chiaro. Altre iniziative legislative che iniziano a esercitare un’influenza globale sono il Cloud Computing Regulatory Framework (CCRF) dell’Arabia Saudita e la Legge sulla protezione dei dati personali (POPI) del Sud Africa.

Benché tutti questi sviluppi siano stati previsti per migliorare gli standard generali, il report FOMC conclude che vi è un’urgente necessità di definire uno standard globale di conformità dei dati adatto all’era del multi-cloud. I reparti IT devono fronteggiare già molteplici complessità, legate ad esempio alla disponibilità di data center o all’affidabilità della larghezza di banda, e normative incoerenti e mutevoli tra i diversi Paesi possono solo causare ulteriori problemi sia ai fornitori di servizi cloud (CSP), che cercano di aprire data center in nuove sedi, sia alle imprese che intendono espandere i propri servizi a livello internazionale.

“Ogni Paese ha dinamiche molto specifiche nell’adozione del cloud”, afferma Arthur Goldstuck, esperto che ha contribuito alla stesura del report FOMC e Managing Director di World Wide Worx. “Potremmo dire che ‘il cloud non è un Paese’, il che significa che sulla base delle dinamiche di uno specifico mercato, i benefici vengono vissuti in modo molto differente in tutti i diversi settori”.

Una regolamentazione rigorosa

La sovranità dei dati è ora un problema scottante per tutte le aziende, indipendentemente dalla loro provenienza geografica, e le strategie cloud devono essere configurate di conseguenza.

Un’altra ripercussione delle normative sull’adozione del multi-cloud, specialmente in Medio Oriente, è legata a leggi per cui alcuni tipi di dati devono essere archiviati in un cloud privato anziché pubblico.

Mohammed Owais, CTO di Caza, solleva la questione nel report FOMC: “In alcuni Stati esistono regolamenti che impediscono ai dati finanziari di lasciare il Paese, specialmente se si tratta di dati di che hanno a che fare con il Governo, limitando di conseguenza le scelte”.

L’Arabia Saudita ha ostacoli simili, perché tutto quello che riguarda il settore finanziario dev’essere gestito esclusivamente all’interno dei confini del Paese utilizzando solo la tecnologia cloud dei service provider locali.

Anche la facilità d’uso della tecnologia, uno degli obiettivi principali per gli utenti di oggi, pone le aziende davanti a cambiamenti inevitabili. Man mano che l’intelligenza artificiale (AI) e il machine learning diventano più sofisticati, dovranno adottare l’automazione e semplificare i sistemi di controllo per rispondere rapidamente alle esigenze dei clienti. Le soluzioni di sicurezza avanzate con sistemi di controllo di gestione integrati e di semplice utilizzo e funzionalità analitiche offrono agli utenti maggiore consapevolezza nel trarre vantaggio dalle risorse multi-cloud, garantendo al contempo un livello superiore di servizio a un costo inferiore. Le maggiori visibilità, scalabilità e flessibilità che ne deriveranno miglioreranno anche la capacità delle aziende di rispettare le normative senza compromettere il servizio ai clienti.

Si tratta quindi di un cambiamento inevitabile, dove l’innovazione farà sì che le infrastrutture si sviluppino sempre più rapidamente e le normative cambieranno a ritmo incalzante, comportando grandi rischi per i Cloud service provider più piccoli, che possono dover cessare l’attività o perdere i propri data center a causa degli attacchi informatici. Non è mai stato più vitale per le aziende ottenere l’agilità del cloud, pur rimanendo al passo con la legislazione.

Maggior libertà

L’appello espresso all’interno del report FOMC riguarda la necessità di creare uno standard di protezione dei dati globale entro i prossimi cinque anni; si tratta di un obiettivo a dir poco coraggioso, e molti esperti suggeriscono che qualsiasi sforzo in questa direzione sarebbe ostacolato da questioni relative al commercio, alla politica e alle differenze culturali.

Ritengo infatti che, indipendentemente dalla riuscita di tale progetto, sia un dato di fatto che oggi i consumatori più attenti alla tecnologia scelgano di affidarsi ai gestori di dati più affidabili. Questa è una delle ragioni per cui, come riportato nel report FOMC, i leader aziendali dovrebbero abbracciare positivamente il cambiamento normativo il cui obiettivo ultimo è salvaguardare ciò che conta: applicazioni e dati. Da questo punto di vista la legislazione non dovrebbe essere vista come un vincolo, ma piuttosto come una cornice in cui inserirsi o una rampa di lancio per evolvere verso un business migliore, più orientato al multi-cloud e a prova di futuro.