Per il country manager di Rsa, Massimo Vulpiani, si può trasformare quella che alcuni vivono come una minaccia, in un’opportunità.
Il cloud offre l’opportunità di rendere la sicurezza migliore: più veloce, più efficiente, meno intrusiva.
L’opinione è di Massimo Vulpiani, che osserva peraltro che, come evidenziato dalla ricerca Portio, anche il report di Rsa, dal titolo “As hyper-extended enterprises grow, so do security risks”, conferma che c’è ancora molta confusione sul modo in cui gestire la sicurezza nel cloud.
Due terzi degli intervistati da Rsa, che gestiscono applicazioni o processi di business nel cloud, ammettono di non aver sviluppato una strategia di sicurezza specifica. Molte delle security practice e degli strumenti in uso in azienda possono essere riutilizzati nella nuvola, ma esistono differenze su come queste risorse possono essere condivise, controllate e gestite.
Poichè le piattaforme sono ancora in fase di sviluppo, ci sono enormi opportunità di integrazione di tecnologie e processi nell’infrastruttura, con significative potenzialità di superamento dell’attuale livello di information security in azienda. I codici di sicurezza possono essere inclusi nei sistemi operativi a livello di rete e applicativo, i protocolli realizzati a livello virtuale.
Il cloud, per Vulpiani, richiede ai leader di information security di ampliare la definizione di identità utente. Le transazioni It sono sempre più automatizzate: oggi, le interazioni tra software e sistemi sono paragonabili o addirittura superano quelle tra persone e macchine. Il cloud accelera il trend. Come conseguenza, un utente nel cloud potrebbe essere maggiormente assimilato a una macchina più che a una persona (o a una macchina che agisce per conto di una persona). Tutto questo ha profonde implicazioni su come le identità vengono organizzate, autenticate e gestite.
L’adozione di un’infrastruttura cloud, sempre per Vulpiani, spinge le aziende a riesaminare le modalità di valutazione dei fornitori di soluzioni It in modo che si vengano a creare differenti livelli di fiducia. Poichè una parte delle infrastrutture It sarà gestita da terze parti, i Cso dovranno essere in grado di rendere sicure non solo le infrastrutture fisiche ma anche quelle virtuali.
Le aziende, insomma, devono salvaguardare le informazioni proprietarie su server virtuali e storage dando al contempo agli amministratori l’accesso e i privilegi necessari allo svolgimento dei loro compiti.
È quindi indispensabile anche la completa trasparenza sulle performance dei cloud provider per quanto riguarda i protocolli di business e di sicurezza concordati. Mantenendo il controllo sulle policy, i rischi correlati all’operatività nel cloud non sono elevati, ma solo differenti.
Fondamentalmente, per Vulpiani, la sicurezza nel cloud non è un problema tecnologico quanto una questione di fiducia tra i fornitori di risorse cloud e le aziende che utilizzano questi servizi. Molte tecnologie, servizi, metodologie necessarie a rendere sicuro il cloud già esistono: è essenziale estenderle dall’impresa al cloud.
