Cloud

L’Amministrazione federale gestisce le sue applicazioni nei suoi centri di calcolo, in cloud privati e in cloud pubblici di diversi fornitori. È responsabilità dei Dipartimenti selezionare la soluzione adatta a ogni applicazione. Il settore Trasformazione digitale e governance delle TIC della Cancelleria federale (TDT) fornisce a livello centrale chiarimenti giuridici, un modello dei livelli di cloud e principi in materia di cloud, affinché l’Amministrazione possa decidere in base a principi uniformi.

Strategia cloud dell’Amministrazione federale

Con la sua Strategia cloud l’Amministrazione federale fissa il quadro per l’impiego dei cloud al suo interno. L’Amministrazione punta su una strategia multi-cloud ibrido continuando quindi a fare affidamento soprattutto sui propri centri di calcolo e sulle prestazioni dei cloud privati di proprietà della Confederazione. A questi si aggiungono servizi cloud pubblici (perciò ibridi), ottenuti da diversi fornitori di cloud pubblici (perciò multi).

Con il progetto «Cloud pubblico della Confederazione» la Confederazione ha dato la possibilità alle sue unità amministrative di ottenere, se necessario, servizi cloud pubblici. Spetta ai Dipartimenti decidere se far funzionare un’applicazione su un cloud privato o pubblico. Il settore TDT formula tuttavia raccomandazioni e mette a disposizione alcuni ausili (vedi sotto).  

L’utilizzo di servizi cloud sostiene la trasformazione digitale dell’Amministrazione federale. I servizi cloud consentono di utilizzare in modo flessibile le tecnologie di ultima generazione. Le risorse a disposizione possono essere adattate tempestivamente in caso di oscillazioni del fabbisogno. La combinazione di cloud privati e pubblici permette di soddisfare in modo ottimale le esigenze dell’Amministrazione (per es. nei settori della sicurezza delle informazioni e della protezione dei dati, della resilienza o della forza innovativa).

Aspetti legali

La sicurezza delle informazioni e la protezione dei dati hanno un ruolo fondamentale in tutte le applicazioni dell’Amministrazione federale. Nel caso dei servizi cloud pubblici, l’Amministrazione deve esaminare la questione ancora più attentamente, poiché questi funzionano al di fuori dei suoi centri di calcolo. Questo comprende tra l’altro un esame dei requisiti legali, del bisogno di protezione e dei rischi. In base all’esito di questo esame, l’unità amministrativa competente decide in quale offerta cloud e con quali misure precauzionali introdurre un’applicazione. L’Amministrazione federale può far capo a strumenti consolidati come l’analisi del bisogno di protezione e il concetto in materia di protezione delle informazioni e di sicurezza dei dati. Come ausilio per la scelta del livello di cloud appropriato sono inoltre disponibili il rapporto sulle basi legali e i principi in materia di cloud della Confederazione. Si tratta di elementi fondamentali della governance del «Cloud pubblico della Confederazione». I principi sono in fase di elaborazione e saranno disponibili entro fine 2022.

Il rapporto sulle basi legali fornisce un’analisi delle basi legali dell’utilizzo di cloud ponendo l’accento sul diritto relativo alla protezione dei dati, alla protezione delle informazioni e al segreto d’ufficio. In esso sono anche contenuti strumenti quali liste di controllo che aiutano le unità amministrative negli accertamenti che sono tenute a eseguire prima di utilizzare servizi cloud.

Modello dei livelli di cloud 

La seguente figura illustra in modo schematico i vari livelli di cloud che possono essere scelti nell’Amministrazione federale. I livelli più bassi (I e II) comprendono i cloud pubblici, quelli più alti (III e IV) i cloud privati nei centri di calcolo dell’Amministrazione federale.

I diversi livelli non si differenziano soltanto per le loro funzionalità, ma anche per i dati che vi sono conservati. Più il numero del livello è alto e più è di norma elevato il livello di protezione dei dati. Di conseguenza, in base a questo modello, i dati particolarmente sensibili non vengono per principio conservati nel livello I.  

Non vi è una distinzione netta tra i vari livelli. Ad esempio un’applicazione specialistica potrebbe funzionare come cloud ibrido distribuita su più livelli, in modo da conservare nel cloud privato i dati personali degni di particolare protezione e nel contempo utilizzare servizi nel cloud pubblico per i dati non sensibili.