giovedì, 3 Aprile 2025
type here...
In Primo PianoNewsReport

Come scegliere un servizio cloud e mini guida per la sottoscrizione del contratto cloud

By Redazione

Le organizzazioni, oggigiorno, devono essere in grado di destreggiarsi sia nell’identificazione del servizio ottimale di cloud per le proprie esigenze sia nel gestire in modo ottimale la sottoscrizione del relativo contratto. Vediamo di che si tratta.

Come scegliere un servizio cloud

Prima di selezionare un servizio cloud, è necessario comprendere le esigenze aziendali in termini tecnici, di servizio, di sicurezza, di governance dei dati e di gestione dei servizi, unitamente alle aspettative minime. Ciò permette all’organizzazione di confrontare le varie offerte dei Cloud Service Provider (CSP) presenti sul mercato in modo omogeneo.

È inoltre doveroso evidenziare che, quando si esegue la migrazione di applicazioni e carichi di lavoro sul cloud, gli ambienti specifici scelti e i servizi offerti dal CSP determineranno le configurazioni necessarie, il lavoro che è necessario svolgere e il supporto che il provider deve garantire all’organizzazione affinché rispetti i requisiti di cyber resilience di normative come NIS2 e DORA che pongono un particolare focus sui settori ICT e cloud provider. Di seguito alcune degli aspetti principali da considerare nella selezione i servizi offerti da un CSP.

Conoscere le proprie esigenze – Ogni organizzazione ha requisiti e criteri di valutazione unici per la selezione del CSP. Tuttavia, esistono alcune aree di interesse comuni che risultano utili durante la valutazione di un CSP, al fine di confrontare efficacemente i vari CSP e selezionare quello che offre il valore e i vantaggi attesi dall’organizzazione in termini di servizio cloud. Di fatto, è necessario considerare la tipologia di dati da gestire, le performance richieste, la scalabilità, le eventuali integrazioni con i sistemi esistenti, il livello di sicurezza e conformità necessario, e qualsiasi requisito specifico in termini di prestazioni o tempo di attività.

Valutazione dei fornitori – È quanto mai fondamentalevalutare i CSP in base a: la loro reputazione, l’affidabilità, le garanzie di up-time, i livelli di supporto offerti e le recensioni di altri clienti. Inoltre, è consigliabile verificare la compatibilità tecnologica e la facilità di migrazione o integrazione con i propri sistemi esistenti.

Servizi offerti – I servizi cloud si suddividono principalmente in tre categorie:

  • Infrastructure as a Service (IaaS) – Esso comporta principalmente il noleggio di servizi e storage fisici o virtuali, consentendo alle aziende di esternalizzare le proprie applicazioni e dati.
  • Platform as a Service (PaaS) – È ideale per le aziende che desiderano sviluppare applicazioni senza dover installare hardware o software.
  • Software as a Service (SaaS) – Esso permette di accedere alle applicazioni cloud tramite Internet.

Di fatto, le organizzazioni devono valutare attentamente le loro necessità per ottimizzare i flussi di lavoro, considerando anche il livello di competenza del team nell’utilizzo dei servizi offerti dal CSP, al fine di ridurre il tempo dedicato alla formazione. Inoltre, è consigliabile che le organizzazioni consultino il CSP riguardo alla pianificazione dello sviluppo dei servizi, per garantire che questi siano in linea con i propri obiettivi a lungo termine, scegliendo così quello che meglio soddisfa le proprie esigenze.

Prestazioni – Si tratta di valutare il CSP in termini di affidabilità e di prestazioni. Alcuni dei fattori chiave da esaminare includono:

  • Tempo di attività e disponibilità – Verificare il Service Level Agreement (SLA) per capire la percentuale di tempo garantita in cui i servizi saranno operativi.
  • Tempi di risposta – Assicurarsi che il fornitore garantisca la disponibilità delle applicazioni con una latenza minima.
  • Prestazioni di rete – Valutare l’infrastruttura di rete del fornitore, poiché la velocità e l’affidabilità della rete sono cruciali per il trasferimento dei dati e la comunicazione tra applicazioni e utenti.
  • Prestazioni di archiviazione – Considerare le diverse opzioni di archiviazione offerte e trovare un equilibrio tra prestazioni e costi in base alle proprie esigenze.
  • Prestazioni di calcolo – Scegliere i tipi di istanza che soddisfano i requisiti di calcolo, poiché le capacità di CPU (Central Processing Unit), GPU (Graphic Processing Unit) e memoria influenzano direttamente la velocità di elaborazione delle applicazioni.

Misure di sicurezza – La sicurezza è un elemento cruciale nella scelta di un provider cloud per garantire la protezione dei dati, delle applicazioni e dell’infrastruttura. Di seguito alcuni aspetti di sicurezza da considerare:

  • Sicurezza fisica – Le strutture del CSP devono essere protette con controlli di accesso fisico rigidi, come personale di sicurezza, sorveglianza video, autenticazione biometrica e altre misure di sicurezza.
  • Crittografia dei dati – È fondamentale che il provider utilizzi procedure di crittografia standard per proteggere i dati sia quando sono inattivi che in transito.
  • Gestione delle identità e degli accessi (IAM) – Soluzioni IAM robuste, come l’autenticazione a più fattori e i controlli degli accessi basati sui ruoli, aiutano a mantenere un controllo stretto su chi può accedere alle risorse.
  • Monitoraggio della sicurezza – I provider offrono strumenti per il monitoraggio della sicurezza che permettono di rilevare e rispondere prontamente agli incidenti.
  • Protezione DDoS – Molti provider forniscono protezione contro gli attacchi DDoS, filtrando il traffico dannoso e gestendo i picchi di traffico.
  • Protezione dei dati – I provider offrono funzionalità che rispettano le normative sulla privacy, quali l’anonimizzazione e il mascheramento dei dati, oltre a permettere di limitare il trattamento dei dati secondo le preferenze degli utenti.

È essenziale valutare le capacità di sicurezza del provider, tenendo presente che la sicurezza del cloud si basa su un modello di responsabilità condivisa, richiedendo alle organizzazioni di eseguire la propria due diligence per garantire la sicurezza dei propri dati e delle applicazioni.

Scalabilità – La scalabilità nei servizi cloud implica la capacità del CSP di mantenere prestazioni ottimali anche quando le dimensioni o il volume dei carichi di lavoro cambiano. È importante che il provider possa modulare le risorse per adattarsi alle esigenze senza causare interruzioni o aumenti di costo significativi. La scalabilità si realizza in diversi modi:

  • Ridimensionamento verticale – Consiste nell’aggiornare o ridurre la capacità delle singole risorse, come la potenza di calcolo, la memoria o lo storage, per gestire variazioni del traffico o attività che richiedono molte risorse.
  • Ridimensionamento orizzontale – Essocomporta l’aggiunta di ulteriori istanze o risorse per distribuire i carichi di lavoro in modo efficiente.
  • Scalabilità globale – Le organizzazioni con una presenza internazionale necessitano di un provider capace di scalare le risorse tra data center situati in diverse regioni geografiche.

Backup dei dati e disaster recovery РIl backup dei dati e il disaster recovery sono servizi essenziali che il CSP scelto dovrebbe offrire. Pertanto, ̬ importante optare per fornitori che offrano:

Opzioni di backup dei dati che mantengono i dati al sicuro e possano resistere a qualsiasi attacco.

  • Politiche di conservazione dei dati che permettano un rapido recupero in caso di problemi.
  • Automazione che semplifichi il processo di ripristino e riduca il rischio di errori.
  • Obiettivi di tempo di ripristino (RTO – Return Time Objective) e obiettivi di punto di ripristino (RPO – Return Point Objective), in linea con quelli dell’organizzazione per garantire la ripresa delle attività dopo un evento dirompente entro tempistiche atte a garantire la continuità aziendale.

Servizio assistenza clienti – L’assistenza clienti è fondamentale quando si incontrano problemi o si contatta il fornitore per ricevere supporto. Pertanto, è consigliabile scegliere CSP che offrano assistenza 24/7 tramite e-mail, telefono o chat online. Altri supporti utili includono FAQ, guide per l’utente, knowledge base, responsabili dedicati, forum o community.

Inoltre, è importante considerare le recensioni sul CSP per valutare la qualità dell’assistenza, prestando attenzione ai tempi di risposta e alla disponibilità. Di fatto, scegliere un fornitore con un eccellente supporto clienti assicura una rapida risoluzione dei problemi e accesso all’aiuto necessario quando serve.

Modello di costo e di prezzo – I CSP propongono vari modelli di prezzo, che includono piani mensili, pagamenti annuali e versioni gratuite, con i dettagli disponibili sui loro siti web.

Per ottimizzare i costi, bisogna considerare:

  • La scelta del modello di prezzo – Esso può essere pay-as-you-go, con addebiti basati sull’uso delle risorse, o piani di abbonamento a costi fissi, con opzioni ibride se necessario.
  • I costi di trasferimento dei dati – Si tratta di verificare le tariffe applicate per evitare spese aggiuntive indesiderate.
  • La trasparenza della fatturazione – È necessario esaminare la presenza di costi nascosti e assicurarsi che le informazioni siano chiare e dettagliate.

Ubicazioni dei data center – La localizzazione dei data center del provider cloud è fondamentale poiché influisce su prestazioni, conformità e resilienza dei servizi e delle applicazioni. Una minore distanza tra utenti e data center riduce la latenza, migliorando i tempi di risposta. Inoltre, le aziende globali devono considerare normative regionali come il GDPR in Europa, che richiede la conservazione dei dati all’interno di specifiche giurisdizioni. I data center distribuiti geograficamente offrono anche vantaggi per il disaster recovery e la continuità aziendale, permettendo la replica dei dati su più siti.

Integrazione e compatibilità – Si tratta di aspetti cruciali nella scelta di un CSP, poiché determinano come i servizi del provider si armonizzano con l’infrastruttura esistente di un’organizzazione. L’integrazione riguarda la capacità di sistemi, applicazioni e servizi di connettersi e di funzionare insieme. Inoltre, è essenziale verificare che le offerte del provider cloud possano integrarsi con lo stack tecnologico già in uso, inclusi sistemi on-premise, database, framework di sviluppo e applicazioni di terze parti. API (Application Programming Interface) e SDK (Software Development Kit) robusti sono fondamentali per creare integrazioni personalizzate e semplificare i flussi di lavoro.

Monitoraggio e analisi – È importante considerare le capacità di monitoraggio e di analisi offerte dal CSP, poiché forniscono informazioni cruciali sulle prestazioni, la sicurezza e l’integrità delle applicazioni cloud. Il monitoraggio e l’analisi sono un fattore importante nella scelta di un CSP per i seguenti motivi:

  • Visibilità – La possibilità di monitorare in tempo reale l’utilizzo delle risorse, i tempi di risposta, i tassi di errore e altre metriche è fondamentale per garantire un’ottima esperienza utente.
  • Ottimizzazione dei costi – Gli strumenti che analizzano il consumo di risorse e i modelli di utilizzo aiutano a identificare opportunità per ridurre i costi.
  • Avvisi e notifiche – Avvisi tempestivi permettono di rispondere rapidamente a problemi di sicurezza o a deviazioni delle prestazioni. È importante che le metriche e i dashboard siano personalizzabili per adattarsi alle esigenze specifiche dell’organizzazione.
  • Apprendimento automatico e analisi predittiva – Le tecnologie avanzate possono: prevedere le necessità di risorse; rilevare anomalie; offrire consigli proattivi per ottimizzare prestazioni e costi.
  • Integrazione DevSecOps – Il monitoraggio e l’analisi possono essere integrati nelle pipeline DevSecOps per fornire ai team informazioni in tempo reale sullo stato e la sicurezza delle applicazioni e dell’infrastruttura.

Conformità – È essenziale, quando si sceglie un CSP, verificare che sia conforme agli standard del settore per ridurre i rischi associati.Le certificazioni ISO 27001, ISO 27002 e ISO 27017, sono particolarmente importanti perché assicurano che il provider adotti le migliori pratiche per la sicurezza della rete cloud. Inoltre, la certificazione ISO 27018 è focalizzata sulla protezione dei dati sensibili, garantendo che il provider abbia infrastrutture e protocolli dedicati a tale scopo.

Ancora, è cruciale che il CSP sia conforme a framework di privacy dei dati quali, ad esempio: GDPR, CCPA, SOC2 e PCI-DSS. Di fatto, la conformità assicura che il provider sia stato sottoposto a rigorosi audit di terze parti per verificare la sua conformità ai requisiti normativi, garantendo una gestione efficace della governance, della sicurezza e della privacy dei dati.

Stabilità Finanziaria – È fondamentale verificare la stabilità finanziaria del CSP, considerando che un fornitore finanziariamente stabile è più propenso a investire in infrastrutture, sicurezza e tecnologie innovative che garantiscono il successo a lungo termine.

Considerare più CSPL’adozione di una strategia multi-cloud – che implica l’utilizzo di più provider cloud – può essere vantaggiosa per alcune organizzazioni, ma presenta anche delle sfide. Ecco una sintesi dei vantaggi e degli svantaggi di questa strategia:

Vantaggi

  • Riduzione del vendor lock-in – Evitare la dipendenza da un unico fornitore.
  • Aumento della ridondanza e della resilienza – Migliorare la disponibilità e la continuità operativa.
  • Gestione ottimizzata dei costi – Sfruttare prezzi competitivi tra diversi fornitori.
  • Possibilità di scegliere i migliori servizi della categoria – Selezionare i servizi più adatti da ciascun fornitore.
  • Portata geografica – Espandere la presenza globale utilizzando data center in diverse regioni.

Svantaggi

  • Complessità nella gestione delle risorse – Richiede competenze avanzate per gestire risorse distribuite.
  • Interoperabilità difficile – Garantire che i servizi di diversi fornitori lavorino insieme senza problemi.
  • Mantenere standard di sicurezza e conformità – Maggiore difficoltà nel mantenere la sicurezza e la conformità tra vari fornitori.
  • Spese generali per la gestione dei costi – Complessità nella gestione finanziaria e nel controllo dei costi tra fornitori.
  • Elevati costi di trasferimento dei dati – Potenziali costi aggiuntivi per il trasferimento dei dati tra fornitori.
  • Relazioni con i fornitori complicate – Gestire più relazioni può essere dispendioso in termini di tempo e risorse.

Mini guida per la sottoscrizione del contratto cloud: aspetti da considerare.

È importante, dopo aver scelto il CSP, redigere un contratto che tenga in considerazione determinati requisiti che le normative vigenti richiedono in termini di cyber resilience, salvaguardia dei dati e continuità del business.

Vediamo in dettaglio gli aspetti da considerare attentamente nella sottoscrizione di un contratto con un CSP.

Definizione dei servizi (Service Line Agreement – SLA) – Si tratta di delineare il livello di servizio che il provider promette di fornire in termini di: tempi di attività e tempi di risposta. È importante comprendere cosa è incluso nel SLA e quali alternative sono disponibili se il provider non riesce a soddisfare tali standard.

Scalabilità – Il contratto dovrebbe specificare come il CSP allocherà e ridimensionerà le risorse per soddisfare le mutevoli esigenze del cliente.

Proprietà e controllo dei dati – L’accordo dovrebbe definire chiaramente chi possiede i dati e come è possibile accedervi, scaricarli o eliminarli. Inoltre, l’organizzazione dovrebbe comprendere i propri diritti sui propri dati e il proprio controllo su di essi. Ancora, è necessario stabilire la procedura di notifica in caso di violazione, oltre a specificare come esportare i dati e quali formati di esportazione supporta il CSP.

Sicurezza e privacy – Il CSP dovrebbe delineare le proprie misure di sicurezza e policy per proteggere i dati dell’organizzazione. È fondamentale garantire che queste misure soddisfino i requisiti di sicurezza e conformità dell’organizzazione.

Ripristino di emergenza e continuità aziendale – Il contratto dovrebbe includere disposizioni che garantiscano che il CSP possa riprendersi da interruzioni quali guasti hardware, interruzioni di corrente e calamità naturali. Pertanto, il CSP dovrebbe garantire strategie di Disaster Recovery e Business Continuity in linea con le esigenze del cliente, oltre a specificare le proprie responsabilità in materia di backup e ripristino dei dati.

Prezzi e condizioni di pagamento – Si tratta di verificare come viene effettuato il calcolo delle tariffe (i.e. basato su abbonamento o utilizzo), oltre a definire termini di pagamento e delle penali per ritardi.

Conformità e problemi normativi – Si tratta di:specificare gli obblighi di conformità legale e normativa e prevedere, altresì, verifiche di conformità agli standard e ai requisiti legali.

Diritti di proprietà intellettuale (diritti IP/IT) – Si tratta di: descrivere la proprietà intellettuale di ciascuna parte; chiarire specifiche delle licenze per i software o per le tecnologie proprietarie.

Responsabilità e indennizzo – Il contratto dovrebbe chiarire la responsabilità di ciascuna parte durante: interruzioni del servizio, violazioni dei dati o altri problemi. Inoltre, entrambe le parti dovrebbero definire le clausole di risarcimento.

Strategia di risoluzione e uscita – È importante: specificare le condizioni di risoluzione del contratto; descrivere il processo di restituzione o distruzione dei dati; definire il trasferimento dei servizi a un altro fornitore. Di fatto ciò permette di gestire:

  • Lock-in – I contratti che non consentono facili strategie di uscita, di fatto, possono vincolare le aziende, portando a pesanti sanzioni o alla perdita di dati.
  • Commissioni e tempistiche di risoluzione anticipata – Alcuni CSP potrebbero addebitare commissioni di risoluzione anticipata o imporre tempistiche restrittive che limitano la capacità di eseguire rapidamente la migrazione. Pertanto, il contratto dovrebbe specificare le condizioni per la risoluzione, come violazioni del contratto, mancato pagamento o risoluzione per convenienza. Inoltre, dovrebbe includere disposizioni per la risoluzione delle controversie, quali la mediazione o l’arbitrato.
  • Modifiche e aggiornamenti – Il contratto dovrebbe prevedere la gestione delle modifiche ai servizi cloud, inclusi aggiornamenti e manutenzioni, per ridurre al minimo l’impatto sulla disponibilità e sulle prestazioni del servizio.

Conclusione

È quanto mai importante per le organizzazioni adottare un approccio strutturato e attento nella selezione e nella gestione dei contratti cloud, al fine di massimizzare i benefici dei servizi cloud, minimizzandoal contempo i rischi e i costi e, al contempo, essere conformi al quadro normativo che adotta sempre più un approccio risk-based e resilience-based.

Cybsec-news.it vi invita alla seconda edizione della CYBSEC EXPO, in programma a Piacenza dal 21 al 23 Maggio 2025.

Previous article
Accenture e CrowdStrike insieme per potenziare la sicurezza informatica
Next article
Intelligenza Artificiale (IA) vs. cybersecurity: una medaglia dalle due facce

Latest article

© 2023 Mediapoint & Exhibitions s.r.l. - P.IVA 01253850992 – registrazione tribunale di Genova n.36/2011 – Direttore responsabile Fabio Potestà

Privacy Policy Cookie Policy

Popular Category

Editor Picks