Martedì, 06 Agosto 2013 14:55

Gartner: cloud, aziende "frustrate", poca sicurezza nei contratti

Gartner: dai fornitori SaaS garanzie minime. La soluzione? Negoziare clausole personalizzate.

Il Cloud interessa alle aziende, ma è ancora percepito come poco sicuro, perché i contratti che vengono siglati con i fornitori del servizio non offrono le garanzie di cui le aziende hanno bisogno, come rivela  l’ultimo studio di Gartner, intitolato “Cloud contracts need security service levels to better manage risk”.

Spesso i contratti del Cloud, in particolare quelli per il software as a service (SaaS), presentano termini ambigui in merito al mantenimento della confidenzialità dei dati, della loro integrità e del loro recupero dipo un eventuale incidente o perdita, sostiene Gartner, e questo rende gli utenti dei servizi Cloud scarsamente soddisfatti. E' anche più difficile per i fornitori gestire il rischio e difendere la propria posizione di fronte a enti regolatori e società di auditing.

Secondo la società di analisi, fino a tutto il 2015, l’80% dei professionisti dell’approvvigionamento It delle aziende mondiali continuerà a non sentirsi soddisfatto dai termini dei contratti SaaS e dalle clausole relative alla sicurezza. “Osserviamo frustrazione negli utenti dei servizi Cloud riguardo alla forma e al grado di trasparenza che riescono a ottenere dai service provider attuali o potenziali”, afferma Alexa Bona, vice president e distinguished analyst di Gartner.

Il minimo che gli utenti dei servizi Cloud chiedono è la garanzia che i contratti SaaS prevedano una audit di sicurezza annuale e una certificazione da parte di un organismo indipendente, e la possibilità di terminare il contratto nel caso di falle nella sicurezza cui il provider non riesce a porre rimedio. Sarebbe utile anche una forma di valutazione e monitoraggio degli strumenti offerti dai provider, come quelli che la Cloud security alliance ha creato (Cloud controls matrix) e definito “importanti per il cloud computing”.

Al momento, però, le garanzie standard dei contratti Cloud son ben poche. Gli utenti non possono aspettarsi che automaticamente il loro contratto SaaS includa un adeguato livello di servizio in merito a  sicurezza e recupero dei dati. “Qualunque siano i temini per descrivere  il service level agreement (Sla), i professionisti dell’It che vogliono che i loro dati siano protetti dagli attacchi e ripristinabili in caso di incidente, devono assicurarsi attivamente che il provider sia obbligato da contratto a farlo”, sottolinea l’analista Gartner.

Uno standard sulle garanzie di security che i fornitori del Cloud devono offrire nei contratti non esiste, e quindi la maggior parte dei vendor SaaS si impegna a prestare garanzie minime. In particolare, molti provider evitano di definire i termini per un eventuale  risarcimento dei danni in caso di intrusioni e perdite di dati  “ll SaaS rappresenta la tipica situazione in cui una falla in un solo provider potrebbe impattare migliaia di clienti simultaneamente, il rischio è di dover pagare cifre altissime in caso di incidente”, spiega la Bona. Secondo l’analista Gartner, gli utenti dovrebbero negoziare una forma di responsabilità e risarcimento, o anche di assicurazione, col provider, estendendo la copertura a 24-36 mesi, non 12 come avviene più di frequente.

Gartner consiglia in generale alle aziende che si rivolgono a fornitori Cloud di esigere che sia messo per iscritto un impegno a garantire specifici servizi che possono rendere il contratto più soddisfacente, come la protezione dall’accesso non autorizzato da parte di terzi, la certificazione annuale degli standard di security o lo svolgimento di regolari test delle vulnerabilità.