Per motivi di costo, scalabilità e time to market, sta crescendo nelle aziende (tutte le ricerche e gli studi concordano in questo) l'uso dei servizi cloud. Ma crescono anche le criticità che questo nuovo "corso dell'IT" fa emergere sul piano della security. Emerge con forza la necessità di adottare nuove strategie di protezione, perché un approccio tradizionale – leggasi "controllo tutto" – non è più applicabile e forse non lo è mai stato.

 

I primi passi

Ovviamente, la prima cosa da fare è procedere a una classificazione puntuale della tipologia di dati che verranno trasferiti nella nuvola, per assicurarsi di essere in grado di proteggere (BENE) i record più importanti - dati sensibili e business critical - a prescindere dalla loro collocazione e dal modello di hosting. La società di analisi Forrester ha elaborato un modello – denominato "Security Strategy LifeCycle" –, che permette alle aziende di pianificare e intervenire tempestivamente sulle situazioni critiche che affliggono l'integrità dei dati aziendali nel cloud. Il modello prevede una sorta di "neutralità" della sicurezza rispetto ai servizi dei provider e alle tecnologie utilizzate in casa, a garanzia che le questioni legate alla security non siano d'intralcio all'adozione del cloud in azienda C.

Si tratta di un modello puramente organizzativo, che non prevede l'adozione di alcuna infrastruttura di protezione specifica, ma che si risolve in una serie di accorgimenti e best practice inquadrati all'interno di un ciclo continuo di revisione e miglioramento strutturato in 5 passi:

  • Chiarire i "pro", ovvero raccogliere gli elementi che giustificano l'investimento nella sicurezza in cloud
    Questo passaggio è fondamentale perché la sicurezza è, per sua natura, scarsamente evidente e tangibile. La si dà per scontata e, spesso, la si sottovaluta fino a quando qualcosa non va storto oppure fino a quando sono le normative – territoriali o di settore – a imporre all'azienda di adottare delle "misure minime" di protezione dei propri dati. Spesso, però, gli investimenti in sicurezza rispondono anche alla necessità di migliorare il monitoraggio dei flussi di dati per ottenere maggior chiarezza e trasparenza nel rapporto con fornitori dei servizi cloud ed è per questo motivo che andrebbero correttamente calibrati.
  • Identikit dei key user
    L'azienda dovrà impegnarsi a identificare i requisiti e le soluzioni di sicurezza che assicurino il minor impatto possibile sull'operatività quotidiana degli utenti dell'organizzazione ma che, al contempo, permettano alle persone che si occupano di compliance e auditing di avere garanzie sul rispetto dei requisiti di legge - report su attacchi informatici o incidenti, alterazioni o perdite di dati.
  • Governo del processo di cloud security
    Dopo aver identificato gli utenti chiave e documentato i requisiti, si renderà necessario verificare che la cloud security consenta di dare accesso ai servizi cloud da qualsiasi dispositivo compresi, in molti casi, device mobili di proprietà dei dipendenti, sia per chi si connette dall'interno sia per chi lo fa dall'esterno della rete aziendale. Le policy BYOD (Bring Your Own Device) introducono un ulteriore livello di complessità nella protezione dei dati nel cloud e obbligano il team IT a regolamentare in modo piuttosto stringente che cosa i dipendenti possono o non possono fare. È buona norma mappare e classificare i dati aziendali per capire quali file debbano necessariamente essere crittografati e quali, anche in base al contesto, non sono, invece, da considerarsi "critici", quindi degni di particolare attenzione/protezione. Fondamentale è anche la predisposizione di un sistema di controllo, utile per scoprire tempestivamente le violazioni delle policy da parte degli utenti e bloccare prima possibile le potenziali fughe di dati. Serve, inoltre, poter aggiornare rapidamente le policy aziendali che riguardano la cloud security in funzione dei cambiamenti che possono riguardare le conformità ai requisiti di legge nei vari settori. Ultimo aspetto, ma non meno importante, è sapere dove i cloud provider custodiscono fisicamente i dati (il loro data center è situato sul territorio nazionale?). Questo permetterà di capire se il servizio cloud permette all'azienda di rispondere ai requisiti di alcune normative territoriali o settoriali (come il GDPR) che impongono restrizioni particolari per i dati conservati fisicamente al di fuori dall'area UE. Per alcuni enti, in particolare la pubblica amministrazione, questi vincoli potranno essere ancor più restrittivi.
  • Rilevazione della situazione esistente (as is) e valutazione delle differenze rispetto a quella desiderata
    In generale serve conoscere come, tecnicamente, gli utenti accedono alle applicazioni e come integrano e si scambiano dati. Occorre capire come è gestita la directory utenti e come vengono sincronizzati o copiati gli attributi dei dati dagli altri sistemi al cloud. Occorre valutare come la security cambia il modo d'interagire degli utenti con le applicazioni. L'aggiunta dei processi di crittografia, per esempio, comporta un degrado del 5-10% nelle prestazioni delle applicazioni, occorre quindi fare dei test per valutarne gli effetti sui carichi di lavoro. Altri aspetti importanti possono essere la capacità di ottenere log report e altre tracce in caso di violazioni, così come la possibilità di predisporre con tempestività azioni di blocco o quarantena nel caso in cui si individuino tentativi di trasferimento o manomissione dei dati al di fuori dei termini stabiliti dalle policy di sicurezza adottate. Nel caso di applicazioni erogate nel cloud, occorre sapere se vi transitano dati sensibili, se gli scambi avvengono in forma cifrata o tokenizzata e se le chiavi crittografiche sono memorizzate on premise o in un cloud separato.
  • Definizione di una strategia efficace che sia sostenuta e supportata dal management. È importante riuscire a motivare le azioni da intraprendere sulla base delle raccomandazioni e delle componenti di sicurezza osservate. Per questo occorre definire le priorità, le relazioni tra eventuali situazioni critiche e le azioni da intraprendere strutturandole in un piano pluriennale di attività che copra almeno un orizzonte temporale di 2/3 anni. È importante, infine, verificare i tempi di attuazione e riportare periodicamente ai committenti i progressi ottenuti.

 

20 dicembre 2017