Agid SaaS qualification
L'Agid sul suo sito indica come sia un vantaggio per i cittaini il passaggio ai servizi cloud per la PA evindenziando questi assunti:
Maggiore affidabilità dei servizi pubblici; maggiore sicurezza e rispetto della privacy; servizi pubblici progettati in maniera nativa digitale; minore incidenza sulla spesa pubblica dei servizi digitali.
Come mai? dopotutto si passa da usare un server "in house" o fornito da qualcuno ad usare quello di Amazon, Google o magari un fornitore italiano e sempre dello stesso pezzo di ferro si parla!
Va premesso che il "pezzo di ferro" che sta sotto, ossia il server, magari sara' anche lo stesso, ma, ad esempio i servizi di google a giugno 2019 non sono ancora qualificati e non li posso usare.
Cosa dunque cambia: non e' il server a cambiare , ma, la pretesa, perche' sta a monte dell'utilizzo, dell'applicazione di vincoli di sicurezza ben definiti, che non sono aspetti speciali in mano a qualche grande multinazionale, ma, vincoli di sicurezza riconosciuti a livello internazionale
Tra i fornitori IaaS qualificati AGID (qualifica CSP) si possono trovare AWS, Aruba ed altri ancora, sia italiani che internazionali.
OWASP
Le normative dell'Agid non si limitano ai soli aspetti di sicurezza, ma, sono tra i primi che spiccano, e tra questi l'OWASP test 4.0 come metodologia per i test di sicurezza.
L'ambito che va a prospettare l'Agid e' quello di applicazioni Cloud Native, dove la sicurezza non e' un cerotto appiccicato il giorno dopo, ma, un fattore su cui si basa lo sviluppo degli applicativi.
La Sicurezza?
Chi non sviluppa pensando alla sicurezza? beh, se non avete un report sulla verifica delle vulnerabilita' ed altre evidenze, forse, un problema dovreste porvelo. Anche un po di formazione annuale, documentata, anche questa aiuta.