OVH adotta le best practice ISO 27017 per una sicurezza sempre maggiore

OVH adotta le linee guida contenute nella norma ISO 27017 relativa alla sicurezza dei servizi Cloud. Questo codice internazionale fornisce le best practice che i provider dovrebbero adottare per garantire ai propri clienti una maggiore sicurezza. Julien Levrard, che lavora alla conformità delle infrastrutture OVH all'ISO 27017, illustra le caratteristiche dell'intervento e i vantaggi per i clienti del gruppo.

Cos'è l'ISO 27017?

L'ISO/IEC 27017 è una norma internazionale allineata alla ISO 27002(1), di cui integra e precisa le best practice per una maggiore sicurezza dei servizi Cloud. Per ogni articolo, descrive le eventuali peculiarità legate ai servizi Cloud. Lo stile formale permette una consultazione rapida da parte degli esperti di qualità e sicurezza, ma può renderne la lettura più difficile per i non addetti ai lavori.

L'ISO 27017 non si concentra esclusivamente sui provider di servizi Cloud, ma considera anche la sicurezza di questi servizi nel suo insieme e il punto di vista del cliente. Tutti questi requisiti, infatti, sono complementari e permettono di standardizzare le relazioni tra cliente e provider.

Alcuni dei nostri clienti ci chiedono se siamo conformi alla norma ISO 27017 e ISO 27018. Puoi dirci di più? Qual è il legame tra ISO 27017 e ISO 27018?

L'ISO 27018 è una norma destinata a soggetti che gestiscono dei dati a carattere personale. È concepita su modello dell’ISO 27017 e completa le misure di sicurezza dell'ISO 27002(1) nell'ambito del trattamento dei dati personali. OVH prende molto sul serio la protezione dei dati dei clienti e in particolare i dati sensibili. Le misure di sicurezza dell'ISO 27018 portano il loro principale apporto soprattutto all'ambito dei servizi applicativi (SaaS) per il trattamento dei dati a carattere personale e non sono facilmente applicabili ai nostri servizi infrastrutturali.

L'ISO 27001 implica una relazione strutturata tra la società certificata e i suoi clienti. Cosa apporta in più all'ISO 27017?

Nel 2013 abbiamo ottenuto la prima delle nostre certificazioni ISO 27001, che evidenzia l'importanza della comunicazione tra una società e i suoi clienti per definire processi di gestione della sicurezza adattati. Questa norma è generalista, applicabile a qualunque tipo di organismo. Nell’ISO 27017, le relazioni tra il cliente e i provider di servizi Cloud sono perfettamente definite. La norma descrive quello che un cliente dovrebbe pretendere dal suo provider e le informazioni che il provider dovrebbe trasmettere al suo cliente. Una relazione cliente-provider allineata all’ISO 27017 garantisce che tutti i soggetti che si occupano di sicurezza siano presi in considerazione nella gestione del servizio.

"A partire dai prossimi controlli, i nostri revisori includeranno anche le loro valutazioni in queste best practice per verifiche che saranno anch'esse certificate. Avremo quindi una valutazione indipendente sull'applicazione delle linee guida nei nostri processi."

Possiamo dire che OVH è certificata ISO-27017?

Per questa norma non si può parlare di una vera e propria certificazione. Infatti, non si tratta di un documento sulla conformità, ma piuttosto di un catalogo di linee guida che contiene raccomandazioni per migliorare la sicurezza del servizio. Naturalmente queste raccomandazioni si iscrivono molto facilmente in un sistema di gestione certificata ISO 27001. Nel quadro di miglioramento continuo del nostro sistema di gestione, includiamo il miglioramento delle nostre misure di sicurezza proposto dall'ISO 27017. A partire dai prossimi controlli, i nostri revisori includeranno anche le loro valutazioni in queste best practice per verifiche che saranno anch'esse certificate. Avremo quindi una valutazione indipendente sull'applicazione delle linee guida nei nostri processi.


Perchè la comunicazione tra clienti e provider di servizi Cloud è così importante?

Ospitando i propri sistemi sulle nostre infrastrutture, i nostri clienti ci affidano i loro dati, a volte anche i più sensibili. Un'aspettativa legittima è di disporre di informazioni sufficienti sulle nostre infrastrutture e sulle nostre procedure di utilizzo, per essere sicuri che il livello di sicurezza garantito da OVH è adeguato. Per questo, le informazioni devono essere gestite in modo da evitare qualsiasi rischio di manomissione delle nostre procedure di sicurezza. Trovare l'equilibrio tra questi due obiettivi è complicato: le nostre certificazioni ci aiutano a trovare il giusto compromesso.

Quali sono le informazioni in questione?

Tutte le informazioni di cui il cliente ha bisogno per una giusta copertura dei rischi che deve affrontare. Il provider di servizi Cloud deve informare i suoi clienti sull’architettura, le tecnologie utilizzate, le misure adottate e le funzionalità disponibili, oltre che sul contesto di utilizzo. Ad esempio, il provider deve comunicare le tecnologie di cifratura utilizzate e la localizzazione geografica dei datacenter, oltre a definire la posizione del cliente nei processi operativi e nella gestione di modifiche, aggiornamenti o incidenti. Più in generale, la norma insiste sull’importanza di definire chiaramente ruoli e responsabilità di cliente e provider relativamente alla sicurezza.

"Tecnicamente le modifiche non sono sostanziali: i nostri sistemi di gestione sono stati già costruiti in un contesto Cloud e la maggior parte delle misure adottate sono già conformi all’ISO 27017."

Concretamente, cosa cambia per OVH?

Tecnicamente le modifiche non sono sostanziali: i nostri sistemi di gestione sono stati già costruiti in un contesto Cloud e la maggior parte delle misure adottate sono già conformi all’ISO 27017. Comunichiamo già molto con i nostri clienti per aiutarli a comprendere le nostre architetture e le misure di sicurezza utilizzate: documenti contrattuali, sito Web, documenti trasmessi dopo aver sottoscritto un accordo di confidenzialità, supporto commerciale e tecnico... È un processo molto ricco che miglioriamo continuamente. In questo contesto, ci assicuriamo il rispetto dell'insieme delle linee guida suggerite della norma.

E per i clienti?

La lettura della norma permette all'acquirente del servizio Cloud di identificare i punti principali e lo guida nella scelta dei partner. I CIO hanno bisogno di una velocità maggiore e vogliono poter contare sul provider più adatto ai diversi casi di utilizzo. La fornitura di servizi informatici si evolve quindi naturalmente da un modello basato su una struttura a catena a uno in rete. Moltiplicare le relazioni commerciali e tecniche porta a una nuova complessità, che bisogna imparare a gestire. L'ISO 27017 permette di standardizzare le relazioni tra clienti e provider in base a uno schema di analisi e scambio comune, semplificando questa gestione. Conformandosi all'ISO 27017, OVH consente ai suoi clienti di usufruire di garanzie di sicurezza ancora maggiori. Prevediamo di aumentare ulteriormente nei prossimi mesi il nostro numero di certificazioni, per aprire a OVH anche la possibilità di ospitare dati sanitari.

(1) - L'ISO/CEI 27002 è un insieme di 113 misure chiamate "best practice" e destinate a essere utilizzate dai responsabili dell'applicazione e della gestione di un Information Security Management System (ISMS). All'interno di questa norma, la sicurezza delle informazioni viene definita come la "preservazione della confidenzialità, dell'integrità e della disponibilità dell'informazione".