Il ricorso consolidato di imprese e organizzazioni ai sistemi in cloud implica attente riflessioni sul tema della sicurezza delle informazioni in tal modo gestite e su quale sia il corretto approccio da seguire. È anche su questo argomento che, lo scorso 25 maggio, si è aperto un interessante confronto tra i partecipanti alla tavola rotonda dal titolo “Privacy & Cyber Security: quali priorità e rischi per aziende e PA”: l’evento, moderato da Anna Cataleta, Senior Partner P4I, ha visto tra i suoi protagonisti Alberto Da Pra, Cyber Security Market Development and Presale di Corvallis – Polo Cyber di Tinexta Group.
In quella occasione, Da Pra ha sottolineato la presenza di un errore concettuale estremamente diffuso, specialmente tra le aziende medio-piccole: ritenere che le informazioni in cloud siano intrinsecamente protette. Pertanto, una volta portati i dati in cloud, la tendenza è limitarsi a proteggere il tradizionale perimetro aziendale nella convinzione che ciò sia garanzia di un livello di sicurezza più che adeguato.
Tuttavia, se è vero che i grandi provider garantiscono un livello di protezione in cloud tendenzialmente efficace, è altrettanto vero che più le informazioni vengono spostate sul cloud, maggiore è il rischio di perdere visibilità sulla sicurezza. È una dinamica chiaramente evidenziata dai sistemi di monitoraggio di Corvallis e delle company del Polo Cyber di Tinexta Group, partner per la sicurezza di numerose aziende, che dimostrano come – pur con differenze da provider a provider – la cybersecurity spostata in cloud diventi “miope”.
Chi è chiamato a giocare un ruolo chiave nella risoluzione di questo problema sono da un lato i provider e dall’altro la normativa.
I primi potrebbero aprire ai Clienti l’accesso in lettura ai log applicativi, o aggiungere la possibilità di inserire delle sonde infrastrutturali, anche negli ambienti multi-tenant. La seconda, invece, dovrebbe imporre ai provider una serie di controlli, audit e verifiche molto più stringenti di quanto previsto oggi. Questo per consentire a chi abbia intenzione di ricorrere al cloud di farlo nella maniera più serena e sicura possibile.
In un contesto cloud caratterizzato dalla sempre maggiore disponibilità di servizi e opportunità, un altro focus del confronto è stato quello delle strategie da utilizzare per prevenire un possibile incremento di cyber attacchi. Al riguardo, sono quattro gli aspetti rilevanti da tenere in considerazione.
Il primo riguarda il tema della deresponsabilizzazione, la quale può essere combattuta principalmente con la formazione mirata secondo l’ambito di rischio: chi gestisce dati più vulnerabili e opera in settori facilmente attaccabili deve ricevere maggiore formazione. In tal senso, il Polo Cyber di Tinexta Group eroga moltissimi programmi di formazione differenziandoli a seconda delle figure coinvolte – top management, middle management o l’intera popolazione aziendale – e sempre in modo efficace e misurabile.
In secondo luogo, assume importanza la possibilità di mitigare i problemi di sicurezza in cloud con strumenti di machine learning in grado di analizzare traffico e dati di accesso e di detonare eventuali payload malevoli.
Il terzo aspetto riguarda l’utilizzo delle applicazioni. È molto importante capire quali azioni compie un utente quando accede a un’applicazione: ancora una volta possono essere di aiuto strumenti di machine learning che facciano emergere in modo automatico anomalie riconducibili o al comportamento scorretto di un utente infedele o, molto più frequentemente, al furto di credenziali subito da utenti inconsapevoli.
Un quarto elemento fondamentale è la costante disponibilità di un “piano B”, ovvero la predisposizione di un processo di reazione agli attacchi: essendo questi sempre più frequenti, è fondamentale poter reagire con velocità e preparazione.
Anche in queste situazioni critiche, si è assistito purtroppo a cloud provider medio-piccoli che invece di aiutare il cliente nel momento in cui questi ha subito un attacco, lo hanno abbandonato e ignorato preferendo tutelare sé stessi o altri clienti. È una questione di natura etica ma, soprattutto, contrattuale, dalla quale emerge un ulteriore corollario: l’importanza di saper analizzare correttamente gli accordi da sottoscrivere e di capire come interagire proficuamente con il provider in relazione alle varie funzioni e interventi di cui si può disporre e beneficiare.
Contributo editoriale sviluppato in collaborazione con Corvallis
