I tanti report che esaminano la diffusione e le potenzialità del cloud parlano di crescite costanti e prolungate della sua adozione. Il fatto che sempre più aziende ricorrano ai servizi sulla Nuvola non significa che questi vengano implementati osservando la profilassi e le regole della sicurezza.
Diamo cinque consigli da valutare e implementare contemporaneamente per ridurre la portata delle conseguenze degli attacchi hacker, tenendo presente che questi sono sempre possibili e che i loro effetti sono inversamente proporzionali alla resilienza dell’obiettivo.
Tra questi consigli figurano attivamente anche i provider di servizi cloud perché, benché silenti o ritenuti marginali, sono parte attiva e preponderante.
Indice degli argomenti
Cinque consigli per mettere il cloud in sicurezza
Il cloud amplia i perimetri delle reti aziendali. Ciò che prima era in qualche modo chiuso all’interno delle mura di un’organizzazione ora ne è al di fuori e, per lo più, è accessibile da collaboratori, dispositivi e stakeholder da qualsiasi parte del mondo.
La geografia delle reti è stata modificata dal cloud e ciò concorre a modificare anche l’accezione del termine “sicurezza”, che assume un senso di profondità maggiore nelle attività di difesa di sistemi, di applicazioni e di dati, tale da costringere a rivedere le procedure e le strategie in uso, perché la sicurezza in sé non è più demandata soltanto alla singola impresa ma a tutte le entità con cui questa entra in contatto.
Questo spiega perché ogni impresa dovrebbe essere certa che per i propri partner la sicurezza sia fondamentale: un fornitore o un cliente al centro di un attacco hacker può diventare veicolo di infezioni o di furti di dati e, allo stesso modo, un partner commerciale ammutinato dall’interno da dipendenti o collaboratori può compromettere la privacy delle imprese con le quali ha degli scambi. Discorso che ci porta al primo consiglio.
Il ruolo del provider di servizi cloud
Quando si sceglie il provider occorre subordinare il costo al rapporto tra qualità e prezzo. Optare per uno o per l’altro provider usando il costo come discriminante è fuori luogo, anche perché un fermo macchina o un’incursione hacker hanno conseguenze economiche, finanziare e reputazionali incalcolabili.
La carta dei servizi e le clausole contrattuali devono affrontare l’argomento della sicurezza, della privacy, della conformità e della condivisione di responsabilità.
Le sfaccettature sono molte e non possono essere elencate in un solo articolo ma è opportuno partire dal punto focale: è il provider cloud a dovere rispettare la filosofia di un’azienda in materia di cyber security e non il contrario. Sul mercato l’offerta di servizi cloud è notevole, scegliere i provider più diffusi non è sempre sinonimo di quella consapevolezza del rischio che è elemento fondante anche della cyber security.
Crittografia
I dati in transito e, quelli conservati sul cloud, devono essere crittografati. Non è un’opzione, è imperativo. Ciò esclude che i dati siano accessibili a chi non ha le autorizzazioni necessarie. I provider cloud tendono a includere la crittografia tra i servizi disponibili e laddove non fosse il caso, sarebbe utile ricorrere a tecnologie di terze parti. Da sottolineare anche che la crittografia assolve in parte gli obblighi in materia di privacy.
Monitoraggio del cloud
Il cloud è un sistema aperto e amplia – fino al punto di farlo decadere – il concetto di perimetro aziendale. Il monitoraggio è necessario. Anche in questo caso è un dovere inalienabile, perché la questione non è soltanto l’adempimento delle norme ma la sopravvivenza dell’azienda stessa.
Occorre monitorare il traffico dei dati al fine di scoprire eventuali punti vulnerabili e picchi anomali. Ci sono molte soluzioni erogate anche in modalità SaaS e taluni provider cloud hanno strumenti utili a questi scopi.
Controllo degli accessi
Una linea comportamentale semplice: nessun utente e nessun dispositivo non autorizzato deve poter accedere alle risorse aziendali. L’attuazione è un esercizio organizzativo che conta sul supporto di tecnologie di Identity Access Management (IAM) capaci di gestire e rispettare le policy di privilegi scelte dall’azienda.
Identity and Access Management (IAM) conferma che la stessa identità viene utilizzata e gestita per tutte le applicazioni e, allo stesso tempo, garantisce la sicurezza. Viene utilizzato per autenticare utenti, dispositivi o servizi e per concedere o negare i diritti di accesso ai dati e ad altre risorse di sistema. Uno dei vantaggi intrinseci dell’Identity Access Management è che, per funzionare al meglio, necessita di un’accorta pianificazione della concessione dei privilegi agli utenti.
I backup
La logica dei backup si fonda su due argomenti: tempo reale e al di fuori dell’organizzazione. Le tecnologie attuali – e diversi cloud provider la implementano – consentono backup continui che non necessitano di particolari pianificazioni. Nel medesimo tempo è necessario che le copie dei dati risiedano all’esterno dell’organizzazione affinché siano immuni anche da eventi fisici quali, per esempio, allagamenti o incendi.
Implementare politiche di backup richiede test di ripristino dei dati. Anche in questo caso, una buona strategia decisa a tavolino è d’obbligo.
