Negli ultimi anni, sempre più aziende stanno utilizzando sistemi cloud. Basti pensare che più di una su tre svolge più del 50% dei propri carichi di lavoro in questa modalità.
Il cloud difatti, offre molti benefici alle aziende, a partire da una gestione dei costi puntuale, a una capacità di scalare le risorse in breve tempo in modo efficace, alla resilienza e alla robustezza che la propria infrastruttura informatica acquisisce. Inoltre, il cloud offre alle organizzazioni tutto lo storage necessario e alleggerisce il carico sui dipartimenti IT, normalmente costretti ad i sistemi di calcolo convenzionale.
Ma, poiché tutto viene trasferito in un ambiente esterno – strumenti, applicazioni, dati e informazione, anche sensibili – è essenziale che la sicurezza del cloud e la gestione dei dati che vi scorrono sia accuratamente progettata e continuamente controllata.
Infatti, migrare le applicazioni di gestione documentale nel cloud significa esporre i dati e documenti a una serie di insidie che in una rete privata sono trascurabili. Il problema riguarda la natura stessa del cloud: anche se le soluzioni vengono fornite da provider che hanno infrastrutture di data center caratterizzate da misure di sicurezza di livello molto alto, le stesse vengono utilizzate nei sistemi IT dell’utente o in contesti che possono avere contenuti livelli di security e che quindi le rendono facilmente attaccabili.
Non solo, il fattore umano nell’implementazione rappresenta un momento delicato che va gestito in modo opportuno.
I rischi del cloud
È bene approfondire l’argomento che riguarda i rischi associati al cloud, i quali dipendono certamente da diversi fattori quali il tipo di attività, la quantità di dati in outsourcing e il fornitore del servizio selezionato.
Entrando nello specifico, un primo fattore di rischio sta nella difficoltà di controllo dei livelli di sicurezza messi a disposizione dell’utente dal cloud provider e dalle eventuali terze parti. Difatti, queste misure di sicurezza potrebbero non essere fortificate nel modo giusto, dimostrandosi vulnerabili agli attacchi informatici. Inoltre, come pericolo può esserci anche la condivisione del servizio con molti utenti che potrebbe diventare fallace in alcuni punti.
Un’altra problematica potrebbe nascere dal punto di vista della privacy. Spesso chi sceglie di adottare una strategia cloud non è a conoscenza della posizione fisica dei dati affidati al fornitore del servizio. La questione potrebbe anche apparire poco importante: nel corso del normale svolgimento dell’attività, l’ubicazione fisica dei dati potrebbe facilmente non avere alcun peso. Tuttavia, il luogo dove si trovano fisicamente i dati determina il tipo di normativa applicabile per la loro protezione.
Per questa ragione, i clienti potrebbero a loro insaputa trovarsi assoggettati ad un livello di sorveglianza diverso da quello che credono o che si aspettano. In secondo luogo, le organizzazioni che hanno adottato il cloud devono informarsi su chi gestirà i dati archiviati in remoto. Le società dal loro punto di vista mantengono il controllo sull’accesso degli utenti, ma anche alcuni membri del team del fornitore del servizio cloud acquisiranno l’accesso allo storage off-site.
Infine, i provider di cloud sono spesso poco chiari quando devono definire eventuali clausole di sicurezza personalizzate e accettarle in modo definitivo potrebbe non essere totalmente convincente. Queste ultime potrebbero nascondere delle insidie e prima di affidarsi a tali sistemi bisognerebbe avere una panoramica completa in merito a questo fattore.
Gli aspetti da valutare nella scelta del cloud service
Innanzitutto è necessario comprendere quali sono i fattori da valutare per scegliere un cloud service capace di offrire una sicurezza completa. Ebbene, ci sono diversi aspetti che si devono prendere in alta considerazione.
- Governance: il primo e forse più importante. Si tratta di analizzare la “maturità” della sicurezza del cloud service, prendendo in considerazione quelle che sono le protezioni adottate nei confronti dei propri utenti, la policy e soprattutto il framework di Cyber Security.
- Compliance: vale a dire il comportamento del cloud provider nei confronti di situazioni pericolose come data breach oppure conformità con normative delicate come GDPR.
- Data Protection: un ambito che include tutte le misure di sicurezza adottate dal provider per proteggere gli utenti da eventuali tentativi forzati di accesso non autorizzato. La Data Protection in un certo senso è l’ago della bilancia che permette di comprendere la serietà generale del sistema cloud.
- Security: per rendere chiaro quest’ultimo aspetto, occorre pensare che tutte le protezioni sono da applicarsi ai server fisici, virtuali, S.O., applicazioni e relative API. In questo caso quindi, bisogna informarsi su antivirus, policy di sicurezza e patch rilasciate dal team di gestione del cloud per prevenire ed impedire attacchi informatici.
- Physical Security: erché quest’aspetto è fondamentale? Semplice, perché include la sicurezza fisica delle infrastrutture della società che gestisce il cloud e l’eventuale gestione dell’azienda nei confronti di situazioni come allagamenti oppure incendi. Per chi non conosce tali argomenti, ciò potrebbe sembrare eccessivo, ma in realtà è un elemento da prendere in alta considerazione prima di scegliere un servizio cloud sicuro e professionale.
Gli aspetti da valutare per una sicura gestione dei dati
Quali sono i primi passi che un’azienda deve compiere per mettere al sicuro la sua operatività sul cloud e nella gestione dei dati?
Per mantenere al sicuro il cloud e i dati bisognerà redigere un piano dettagliato che copra ogni aspetto, dalla mappatura degli strumenti alle procedure di ripristino.
Innanzitutto, si dovrà procedere a un’analisi e a una mappatura di tutti gli strumenti e i processi utilizzati per verificare quali di questi potrebbero offrire punti di ingresso non controllati alle risorse aziendali.
A questa approfondita analisi dovrà seguire un piano di messa in sicurezza delle risorse non adeguatamente protette, si dovranno prevedere le policy di accesso ai dati, si dovrà provvedere a creare livelli di visibilità delle informazioni aziendali, coinvolgendo l’intera organizzazione per definire una gerarchia di “sensibilità” dei dati che consenta l’implementazione di strumenti di controllo degli accessi, reparto per reparto.
Andranno quindi prese in considerazione le azioni per prevenire attacchi malevoli o danneggiamenti ai dati aziendali, prevedere piani di disaster recovery in caso di eventi esterni – climatici, ambientali, fisici -che possano distruggere una parte della struttura informativa.
Infine, andranno previste tutte le opportune procedure di ripristino dei dati danneggiati attraverso strategie di backup e di restore sicure, anche in conseguenza ad attacchi sofisticati che possano compromettere singoli computer dell’organizzazione.
Come funziona un programma di cloud security
Ovviamente, le organizzazioni e le aziende non possono ritenersi adeguatamente protette solo con quanto garantito dai cloud provider: prima di tutto, le normative prevedono la responsabilità in capo al proprietario dei dati stessi. E in secondo luogo per evidenti ragioni, compete ai tenants la sicurezza delle proprie applicazioni web e dati all’interno, sia per quanto riguarda attacchi informatici che per eventuali bug presenti.
Per questa ragione è fondamentale fa riferimento alle tecnologie e alle best practice pensate per proteggere i dati e le informazioni in un’architettura cloud per garantire la privacy, la sicurezza e la compliance dei dati archiviati nel cloud.
Un programma di sicurezza cloud monitora tutte le attività nel cloud e stabilisce piani per reagire rapidamente in caso di violazione. In generale, la sicurezza del cloud ha quattro obiettivi principali:
- proteggere;
- rilevare;
- contenere;
- ripristinare.
La cloud security abbraccia un’ampia scelta di strumenti e procedure, pertanto non è possibile spiegare in modo univoco come funziona. L’obiettivo più importante della cloud security è comunque assicurare che solo gli utenti autorizzati possano accedere ai dati conservati nel cloud. Le aziende utilizzano diversi strumenti e strategie, come quelli elencati di seguito, per raggiungere questo risultato.
- Microsegmentazione: questa tecnica di sicurezza divide il data center in segmenti di sicurezza diversi fino al livello del singolo carico di lavoro. L’IT può così definire delle policy di sicurezza flessibili e contenere al minimo i danni che gli hacker potrebbero causare.
- Firewall di nuova generazione: più intelligente e più efficace di un firewall tradizionale, un firewall di nuova generazione utilizza filtri application-aware per contrastare le minacce di nuova generazione.
- Crittografia dei dati: questo processo codifica i dati, che possono essere decodificati soltanto tramite un’apposita chiave, evitando quindi che le informazioni possano cadere nelle mani sbagliate.
- Intelligence sulle minacce, monitoraggio e prevenzione: queste funzionalità analizzano tutto il traffico per identificare e bloccare malware e altre minacce.
I benefici del cloud security
La cloud security assicura diversi vantaggi, come quelli elencati di seguito.
- Protezione contro gli attacchi: uno dei principali obiettivi della cloud security è difendere le aziende da hacker e da attacchi DDoS (Distributed Denial of Service).
- Sicurezza dei dati: una cloud security efficace protegge inoltre i dati sensibili con misure come la crittografia per evitare che le informazioni cadano nelle mani sbagliate.
- Maggiore disponibilità: molti servizi di cloud security offrono assistenza e monitoraggio in tempo reale, che migliorano la disponibilità e risolvono i problemi di sicurezza.
- Maggiore affidabilità: un approccio attento alla cloud security include la ridondanza integrata, che porta a un’esperienza più affidabile.
- Compliance normativa: può essere difficile garantire che un’architettura cloud complessa soddisfi i requisiti di compliance normativa. I cloud provider aiutano ad assicurare la compliance offrendo sicurezza e assistenza.