Il Cloud è diventato uno degli strumenti fondamentali per la trasformazione digitale delle imprese. I dati dell’Osservatorio Cloud Transformation del Politecnico di Milano dicono che, nel 2018, in Italia i servizi in Cloud hanno raggiunto un valore di 2,34 miliardi di euro con una crescita del 19% rispetto all’anno precedente, segno che il “mercato della nuvola” è ormai maturo anche nel nostro Paese.
Eppure, nel nostro settore, quello dei software HR e per il recruiting, il pensiero di gestire su cloud esterni i dati di candidati e dipendenti, genera ancora diffidenza e paura.
Per comprendere meglio il potenziale dei sistemi cloud per la sicurezza dei dati trattati da recruiter e HR, abbiamo intervistato Paolo Pesarin, amministratore unico di KY3, società milanese che si occupa di consulenza alle imprese per la sicurezza e la privacy dei dati, nonché Data Protection Officer di Performa Recruit.
Utilizzare la tecnologia Cloud per software gestionali HR comporta problemi di sicurezza?
No, perché i livelli di sicurezza sono comunque impostati dall’azienda: chi sceglie il cloud acquista uno spazio su un server che poi organizza in base ai propri parametri, esattamente come si fa per i server in casa.
Chi si occupa di ricerca e selezione del personale sa che nei CV ci sono anche dati sensibili e che per questo deve tutelare i candidati, come prescrive il regolamento europeo Gdpr entrato in vigore a maggio 2018. I fornitori di servizi in cloud in questo settore, come Performa, devono quindi garantire livelli di sicurezza adeguati.
La sicurezza dei dati e in particolare tutto quello che concerne i backup, viene affidata sempre più spesso a server farm, che garantiscono protezioni più elevate di quelle che un’azienda può adottare in casa.
Nello specifico, che tipo di garanzie offre alle aziende un server farm rispetto a un server in house?
- La prima garanzia è data dai sistemi di firewall che impediscono gli attacchi dall’esterno; poi, a livello di applicazioni, è l’impresa stessa che decide come strutturare il proprio sistema cloud.
- Una procedura altamente affidabile a livello di sicurezza informatica è quella che prevede la creazione di una DMZ, acronimo di demilitared zone, cioè “zona demilitarizzata”, un’area intermedia tra due livelli di firewall: l’utente autorizzato supera il primo livello, ma per accedere ai dati deve attraversare una seconda protezione, che difende il database. Si costruisce così una doppia barriera che dall’esterno è impossibile penetrare e questo garantisce una maggiore sicurezza dei dati.
- Infine, i sistemi sono monitorati continuamente per identificare movimenti anomali e sospetti.
È evidente quindi che il livello di cyber security di un sistema cloud non è replicabile per un server in house.
Dal punto di vista funzionale, quindi, perché le aziende dovrebbero passare da un server in house a un server farm?
Un server in un’azienda è molto più vulnerabile e soggetto a malfunzionamenti. Le server farm, invece, offrono hosting in cloud e custodiscono i propri server in locali con muri di cemento armato. Possono garantire il funzionamento al 99,982% in caso di qualunque tipo di guasto, grazie a sistemi di ridondanza che duplicano i componenti critici: hanno una doppia alimentazione elettrica da due fornitori diversi, con cavi da due linee distinte e due cabine elettriche separate. Per finire, due generatori di emergenza e due accumulatori, con i relativi serbatoi di gasolio per l’alimentazione, sarebbero in grado di funzionare in autonomia per due mesi.
Questo livello di affidabilità, chiamato Tier 3, non può essere ottenuto in azienda, dove il primo problema può essere l’accessibilità: come dico spesso agli imprenditori dubbiosi, è molto più facile entrare nella vostra sede e uscire con il vostro server sotto braccio, che violare una server farm. Non a caso, anche banche e assicurazioni si affidano ai sistemi in cloud.
Performa Recruit come sta gestendo la sicurezza dei dati?
Come ho spiegato precedentemente, chi fa ricerca e selezione del personale deve prestare particolare attenzione ai dati sensibili contenuti all’interno dei cv dei candidati per essere conforme al regolamento europeo. I fornitori di servizi in cloud nel settore delle risorse umane, come Performa, devono quindi garantire livelli di sicurezza adeguati.
Nella nostra attività di consulenza abbiamo affiancato Performa nella creazione di una struttura informatica e organizzativa che risponde a tutti i requisiti del Gdpr, in questo modo:
- i server sono in Italia, in una server farm a Empoli che assicura il livello di affidabilità Tier 3, con la continuità del servizio e la disponibilità dei dati in ogni momento, in modo che l’interessato possa sempre accedere alle proprie informazioni, come prescrive la normativa;
- la struttura informatica è a più livelli, con tutte le procedure di sicurezza per la protezione, il backup e il ripristino dei dati;
- per affrontare le emergenze è previsto un sistema di disaster recovery che va addirittura oltre il Gdpr: il regolamento enuncia il principio della sicurezza intrinseca, ma lascia all’azienda la scelta di come metterlo in pratica. Nel caso di Performa, i dati di backup sono replicati nella seconda sede del server, che si trova a più di 200 chilometri di distanza dalla prima;
- altro aspetto importante è la parte organizzativa, incentrata soprattutto sulla formazione del personale (in particolare degli amministratori di sistema) in merito a quanto appena riportato;
- Performa Recruit ha da poco inserito la sezione Backup per la gestione in autonomia del salvataggio dei dati aziendali caricati con cadenza mensile: si tratta di uno strumento fortemente richiesto dai nostri clienti, sempre più attenti e sensibili alla questione sicurezza dei dati.
Quale sarà il futuro dei servizi in cloud per la sicurezza dei dati?
Si userà sempre più la crittografazione dei dati, ma il vero punto di attenzione sarà sulle modalità attraverso cui le informazioni vengono trasmesse sulla rete. Ad ogni modo, per affrontare il problema della protezione dei dati, bisogna innanzitutto cambiare mentalità: per esempio, rendersi conto che scambiarsi via email dati sensibili, come quelli contenuti in CV, espone a rischi elevatissimi, eliminabili facilmente per mezzo di un servizio in cloud.