Le Matrici di Responsabilità Condivisa della Sicurezza

Le Matrici di Responsabilità Condivisa della Sicurezza si basano su un framework di controlli specifico per servizi cloud, definito nella Cloud Control Matrix, articolata in 17 domini di sicurezza e 197 controlli.

Per ognuno dei controlli di sicurezza vengono accertate:

• Applicabilità: volto a individuare l’applicabilità, o meno, di quello specifico requisito; 
• Responsabilità: al fine di individuare l’owner della responsabilità su quel controllo, ovvero se  è solo in capo a PSN (CSP-owned), se è solo in capo alla PA (CSC-owned), se è condiviso fra PSN e PA (Shared CSP and CSC) o se è affidato ad una terza parte (3rd-party outsourced). Nello specifico, vengono dettagliate quelle in capo a:
  

  – PSN: si tratta della descrizione puntuale delle attività, in termini di responsabilità, in carico al PSN;

  – Pubblica Amministrazione: si tratta della descrizione puntuale delle attività, in termini di responsabilità, in carico alla Pubblica Amministrazione, con l’inserimento di specifiche linee guida.

Considerato il ruolo di operatore primario per i servizi Cloud della PA che PSN riveste nell’ambito della Strategia Cloud Italia, il completamento delle Matrici di Responsabilità Condivisa della Sicurezza, secondo uno specifico approccio di shared by default, implica che le responsabilità di sicurezza si ritengono preventivamente condivise tra provider di servizi cloud e clienti, al fine di garantire chiarezza e comprensione reciproca delle responsabilità, per una gestione efficace della sicurezza all’interno del servizio Cloud. 

Lo shared by default si basa sui seguenti principi:

• Trasparenza: identificare nell’ambito della sicurezza le responsabilità reciproche per i singoli domini del servizio, sia per la Pubblica Amministrazione che per il provider.
• Integrazione: per gli ambiti di responsabilità della PA, Polo Strategico Nazionale può garantire maggiori livelli di sicurezza attraverso specifici servizi professionali aggiuntivi. 
• Coordinamento: proporre un modello di dialogo e coordinamento ad hoc in base alla tipologia di interlocutore (cloud provider, terze parti, in house cliente) che consenta di mantenere sotto opportuna gestione tutti gli aspetti di sicurezza del servizio cloud. 
• Misurazione: uno strumento comune di governance di sicurezza consente agli interlocutori di misurare il livello di maturità del servizio con gli stessi parametri, sia per la PA che per il Polo Strategico Nazionale. 

L’approccio “shared by default” incoraggia una condivisione preliminare delle responsabilità, necessario anche per rispondere efficacemente alle necessità di governance della sicurezza in contesti complessi quali quelli dei servizi Cloud per le Amministrazioni. 

All’interno delle singole Matrici di Responsabilità Condivisa della Sicurezza verranno formalizzati puntualmente gli ambiti di competenza di entrambe le parti, attraverso la Scheda di servizio, un documento riassuntivo in formula Executive Summary, che contiene:

• Descrizione della metodologia utilizzata;
• Descrizione High-Level delle attività, in termini di responsabilità, tra PSN e della PA cliente per ogni dominio di sicurezza;
• Riepilogo finale delle aree di responsabilità di PSN e della Pubblica Amministrazione Cliente.

Ogni Matrice si basa su una approfondita analisi, che viene sottoposta ad audit interno e ad audit di terza parte. Si tratta del Questionario CAIQ (Consensus Assessments Initiative Questionnaire) di Servizio che contiene:

• Descrizione controllo per controllo delle attività svolte da PSN in quanto provider, e relative evidenze;
• Descrizione controllo per controllo delle Linee guida orientative fornite alla PA per la sicurezza dei propri ambiti di competenza.

I servizi «core» presenti nel catalogo dei servizi sono stati clusterizzati al fine di ottimizzare le attività di governance del servizio, sulla base della comunanza dei rispettivi modelli di delivery.