Il tema dell’implementazione della corretta crittografia è dominante, dato che egli ultimi dodici mesi il ruolo di responsabile della security aziendale si è rivelato particolarmente complesso, visto il numero record di violazioni di dati e l’arrivo del Gdpr.
Oggi, infatti, in tema di data security, possiamo dire che dominino due principali trend: il richiamo a normative più rigide da parte delle autorità a livello globale e il livello sempre più sofisticato delle azioni degli hacker.
Proteggere i dati personali che un’organizzazione detiene richiede un approccio più completo della semplice difesa del perimetro.
Un approccio che dovrebbe comprendere una sicurezza intrinseca, la protezione rispetto alle minacce interne rappresentate dai dipendenti complici inconsapevoli di una violazione, e soprattutto in linea con l’evoluzione delle priorità di data security oggi, e ancor di più in futuro.
Secondo Eran Brown, CTO Emea di Infinidat, purtroppo però, sono molte le aziende, pur competenti in tema di sicurezza, che stanno concentrando le loro attività di crittografia nei punti sbagliati.
La crittografia end to end è la soluzione?
La crittografia dei dati, ci spiega Brown, può avvenire su più livelli nel datacenter, dall’interno dell’array storage fino alle stesse applicazioni.
La strategia classica è stata finora quella di cifrare i dati a livello dello storage, poiché gli array storage possono crittografare i dati istantaneamente senza nessun degrado di prestazione.
Questo dà ai responsabili IT un senso di tranquillità, con la convinzione di aver assolto al problema della crittografia e che i dati siano realmente al sicuro. Sfortunatamente, non è questo il caso, perché la superficie di attacco per le aziende è ben più estesa rispetto ad un attacco diretto sui dati nello storage, dal momento che questo livello non può proteggere i dati “in attraversamento”.
La cifratura, per Brown, deve essere implementata a un livello più elevato dello stack, per proteggere le informazioni ovunque si trovino, compreso il momento del loro transito in rete, per essere immune rispetto ai data breach e alle loro conseguenze (come dice il GDPR allarticolo 34, paragrafo 3).
I responsabili IT che non adottano questo standard avanzato, saranno quindi chiamati a rispondere di questa scelta nel caso di una violazione dei dati a loro affidati?
Il conflitto con lo storage moderno
Per Brown, se implementare la crittografia a livello applicativo è una necessità sempre più stringente per contrastare le minacce alla sicurezza, può portare con sé problemi molto significativi rispetto al moderno data storage.
Oltre a ciò, l’uso comune di Array all-Flash (AFA) all’interno dei datacenter, da molti accolto come una scelta orientata al futuro, va in conflitto diretto con la possibilità di implementare una crittografia end to end dove più sarebbe necessaria.
La crittografia end-to-end neutralizza di fatto la capacità delle infrastrutture AFA di ridurre i costi, impedendo alle aziende di ottenere una migliore efficienza economica nel momento in cui proteggono i dati dei loro clienti.
Se il rapporto di riduzione dei dati in un’azienda passa da 4:1 a 1:1 a seguito dell’adozione della crittografia, ad esempio, il costo già elevato dei supporti all-Flash viene ulteriormente moltiplicato, per quattro – un aumento che un’azienda non può certo sopportare.
In diretta contrapposizione rispetto alle infrastrutture “media-defined” AFA, vi sono soluzioni storage che adottano un approccio innovativo software-defined, e che consentono di raggiungere il livello di sicurezza dei dati richiesto dalle normative attualmente in vigore, anche a fronte dell’evoluzione futura delle minacce cyber – e senza mettere a rischio il bilancio economico complessivo delle aziende.
