Di recente Microsoft ha presentato la propria piattaforma destinata alle imprese e denominata Office 365: assieme a prodotti quali Microsoft Online Services e Business Productivity Online Standard Suite (BPOS), essa intende dare una svolta decisiva all'adozione della tecnologia nota come cloud computing.

Office 365, secondo le intenzioni di Microsoft, va ad affiancare la ben più famosa versione di Office per desktop. In essa si va poi a integrare la prossima generazione di servizi che comprende Exchange Online, SharePoint Online e Lync Online.

La suite sarà disponibile a partire dal 2011 e andrà a sostituire l'attuale piattaforma BPOS, trasferendone gli utenti in modo trasparente.

È importante quindi, qualora si intenda adottare questo paradigma, chiedersi quale metro si debba usare per valutare l'affidabilità e la sicurezza dei provider che forniscono questo servizio.

La risposta a questa domanda prevede che si affrontino alcune questioni di rilevanza strategica per un'azienda che decida di scegliere questo approccio.

La prima questione si può chiamare Identity and Access Management: tradotta, equivale alla necessità di aver chiaro chi può avere accesso ai dati e conoscere a fondo le politiche che disciplinino tale accesso, intendendo con ciò ogni regola che determina l'accesso ai nostri dati.

Transfer e Storage Policy è la seconda questione: è l'aspetto che intende determinare con esattezza quali siano le protezioni informatiche messe in atto per la tutela dei dati durante le due fasi del trattamento, ossia il trasferimento dall'utente al provider di servizi (e viceversa) e lo storage.

Multiply Tenant Environment è la caratteristica con la quale si determinano quali protocolli di sicurezza, backup e ripristino vengano adottati per garantire l'accesso ai dati solo alle persone della propria organizzazione in un ambiente multi utenza.

Data Center Place è un aspetto rilevante nelle questioni legali e che affronta il problema del posizionamento fisico dei Data Center. A quale ordinamento giuridico dovranno rispondere? Quali possibilità d'intervento legale si avranno? La risposta a queste domande deve essere chiara.

Data Center Risk e Safe Policy: questo è un punto cruciale in quanto scegliendo il paradigma delle nuvole bisogna rendersi conto del reale rischio di eventuali interruzioni del servizio di accesso ai dati.

Le possibili cause di un tale evento sono riconducibili in linea di massima a due attori: chi fornisce la connessione e il gestore del servizio on the cloud. È l'indispensabile quindi conoscere le politiche messe in atto e le eventuali garanzie di entrambi i fornitori.

Data Escrow è l'aspetto che tende ad assicurarsi che vi siano adeguate garanzie sulla possibilità di accesso ai dati in un formato leggibile, qualora il rapporto d'affari si deteriori tra il fornitore e l'utente.

Certifications è la valutazione del possesso di certificazioni, rilasciate al provider di servizi, da autorevoli enti certificatori.

Periodic Auditing e Logs Review: questo aspetto ci consente da una parte di valutare la trasparenza nella gestione dei nostri dati durante il rapporto d'affari, dall'altra tenere un registro delle attività svolte.

Questa lista, ovviamente, non è esaustiva ma permette di farsi un'idea su ciò che è indispensabile sapere prima di trasferire il proprio ICT sulle nuvole.