SearchCIO
SearchNetworking
SearchSecurity
01net.CIO
Compliance
Sicurezza del cloud: la responsabilità è in mano all'utente
Gli standard non aiutano e la legge è in ritardo. La via migliore per iniziare è sempre il cloud privato. Lo sostiene Dimension Data, esaltando il ruolo pivotale del system integrator.
31 Marzo 2011
Molte aziende già utilizzano in modalità cloud alcune applicazioni di business come automazione della forza vendita, posta elettronica e collaboration. Parrebbe quindi che il tema della sicurezza sia già stato valutato.
Invece no, se si sta agli esiti di un sondaggio effettuato su 100 responsabili della sicurezza in tutto il mondo: i due terzi degli intervistati non ha ancora adottato una strategia di sicurezza per il cloud computing.
Per Dimension Data per raggiungere la sicurezza del cloud è necessario non solo che i fornitori siano in grado di garantire i servizi di sicurezza basilari, ma richiede che le aziende siano consce del fatto che il cloud aggiunge nuovi elementi di rischio, che vanno valutati già in fase di disegno della nuova architettura, scegliendo il livello di servizio che più risponde alle necessità dell'azienda e decidendo quali componenti dell'infrastruttura portare su fornitori esterni, quali mantenere internamente e per quali adottare soluzioni ibride.
La principale area di rischio è dovuta al fatto che per cloud ibridi o pubblici il cliente non ha il controllo del luogo in cui risiedono tutti o parti dei dati, del modo in cui sono elaborati, archiviati ed eliminati, e può non avere una chiara visibilità di chi vi accede.
Per Dimension Data esistono metodi per ridurre il rischio: primo fra tutti lavorare con un system integrator caratterizzato da competenze su queste tematiche e in grado di gestire per conto di un'azienda cliente l'infrastruttura e le operation verso il provider.
Deve essere chiaro che, anche se l'azienda cliente non ha il controllo o la gestione dell'infrastruttura tecnologica del cloud, l'onere per la riduzione del rischio è ancora a suo carico. Innanzitutto, perché i provider di soluzioni cloud generalmente non modificano il loro ambiente di sicurezza su richiesta. Pertanto, l'azienda cliente deve necessariamente comprendere le proprie esigenze in termini di sicurezza, al fine di selezionare un provider con un ambiente adatto alle proprie necessità.
Di conseguenza, è opportuno che l'azienda cliente effettui una valutazione del rischio, ipotizzando uno scenario che comprenda non solo gli aspetti tecnologici ma anche i l'impatto sull'organizzazione ed i processi oltre che sulla propria propensione alla gestione di rischi aggiuntivi al fine di ottenere benefici di business.
Allo stesso tempo la valutazione mostrerà quali soluzioni di sicurezza dovranno caratterizzare l'infrastruttura del provider, al fine di proteggere i dati del cliente.
E gli standard non aiutano: a oggi non ne sono ancora stati definiti nel campo della sicurezza per il cloud, anche se un buon punto di partenza è fornito da iniziative e alleanze fra le più importanti aziende del settore (Open Cloud Manifesto) e da esperti di sicurezza (Cloud Security Alliance).
Anche la legge è in ritardo e c'è una questione di competenza. I dati potranno essere ritenuti sicuri in un paese ma non in un altro.
In molti casi, gli utenti dei servizi di cloud non sono a conoscenza dei luoghi dove i dati sono conservati o da cui vengono operate le loro applicazioni.
Le aziende devono tener presente che i contratti sono la chiave per l'applicazione delle normative giuridiche e devono pertanto essere negoziabili, al fine di riflettere le specifiche esigenze delle aziende, nonché la natura dinamica del cloud, garantendosi la conformità alle normative locali e la possibilità di passaggio il più possibile indolore ad altro fornitore o di ritorno in un momento successivo ad una situazione di completa proprietà e sicurezza degli asset.
Va ricordato che, mentre i provider di cloud sono i custodi dei dati, i loro clienti, proprietari dei dati, sono legalmente responsabili per la conservazione degli stessi.
In mancanza di norme di sicurezza specifiche per il cloud, le aziende devono essere sicure che i loro provider almeno rispettino lo standard per Sistema di Gestione della Sicurezza Informatica (Iso27001) e che siano conformi con lo standard di Audit delle Service Organization (Sas70), progettati al fine di garantire le basi per gli audit da parte di terzi, ed attuano e rispettano i principi dell'Ocse in materia di sicurezza delle informazioni e dei sistemi di rete.
In particolare, i clienti dovrebbero classificare i dati ed i sistemi al fine di comprendere i requisiti di conformità, e avrebbero anche bisogno di conoscere dove risiedono i dati, non escluse le copie di backup che vengono effettuate e le modalità di loro archiviazione, nonché di mantenere il diritto di effettuare controlli su richiesta, dal momento che la legislazione e le esigenze di business sono in continua evoluzione.
Alla luce di tutto ciò, per Dimension Data la soluzione più elementare è quella di optare inizialmente per un cloud privato, che impatta meno sugli aspetti della sicurezza e prevede la virtualizzazione per un utilizzo interno e, quindi, da parte di personale già autorizzato. Questo può creare le basi di una metodologia di lavoro basata sul cloud e facilitare, in un momento successivo, il passaggio al cloud ibrido o pubblico.
Invece no, se si sta agli esiti di un sondaggio effettuato su 100 responsabili della sicurezza in tutto il mondo: i due terzi degli intervistati non ha ancora adottato una strategia di sicurezza per il cloud computing.
Per Dimension Data per raggiungere la sicurezza del cloud è necessario non solo che i fornitori siano in grado di garantire i servizi di sicurezza basilari, ma richiede che le aziende siano consce del fatto che il cloud aggiunge nuovi elementi di rischio, che vanno valutati già in fase di disegno della nuova architettura, scegliendo il livello di servizio che più risponde alle necessità dell'azienda e decidendo quali componenti dell'infrastruttura portare su fornitori esterni, quali mantenere internamente e per quali adottare soluzioni ibride.
La principale area di rischio è dovuta al fatto che per cloud ibridi o pubblici il cliente non ha il controllo del luogo in cui risiedono tutti o parti dei dati, del modo in cui sono elaborati, archiviati ed eliminati, e può non avere una chiara visibilità di chi vi accede.
Per Dimension Data esistono metodi per ridurre il rischio: primo fra tutti lavorare con un system integrator caratterizzato da competenze su queste tematiche e in grado di gestire per conto di un'azienda cliente l'infrastruttura e le operation verso il provider.
Deve essere chiaro che, anche se l'azienda cliente non ha il controllo o la gestione dell'infrastruttura tecnologica del cloud, l'onere per la riduzione del rischio è ancora a suo carico. Innanzitutto, perché i provider di soluzioni cloud generalmente non modificano il loro ambiente di sicurezza su richiesta. Pertanto, l'azienda cliente deve necessariamente comprendere le proprie esigenze in termini di sicurezza, al fine di selezionare un provider con un ambiente adatto alle proprie necessità.
Di conseguenza, è opportuno che l'azienda cliente effettui una valutazione del rischio, ipotizzando uno scenario che comprenda non solo gli aspetti tecnologici ma anche i l'impatto sull'organizzazione ed i processi oltre che sulla propria propensione alla gestione di rischi aggiuntivi al fine di ottenere benefici di business.
Allo stesso tempo la valutazione mostrerà quali soluzioni di sicurezza dovranno caratterizzare l'infrastruttura del provider, al fine di proteggere i dati del cliente.
E gli standard non aiutano: a oggi non ne sono ancora stati definiti nel campo della sicurezza per il cloud, anche se un buon punto di partenza è fornito da iniziative e alleanze fra le più importanti aziende del settore (Open Cloud Manifesto) e da esperti di sicurezza (Cloud Security Alliance).
Anche la legge è in ritardo e c'è una questione di competenza. I dati potranno essere ritenuti sicuri in un paese ma non in un altro.
In molti casi, gli utenti dei servizi di cloud non sono a conoscenza dei luoghi dove i dati sono conservati o da cui vengono operate le loro applicazioni.
Le aziende devono tener presente che i contratti sono la chiave per l'applicazione delle normative giuridiche e devono pertanto essere negoziabili, al fine di riflettere le specifiche esigenze delle aziende, nonché la natura dinamica del cloud, garantendosi la conformità alle normative locali e la possibilità di passaggio il più possibile indolore ad altro fornitore o di ritorno in un momento successivo ad una situazione di completa proprietà e sicurezza degli asset.
Va ricordato che, mentre i provider di cloud sono i custodi dei dati, i loro clienti, proprietari dei dati, sono legalmente responsabili per la conservazione degli stessi.
In mancanza di norme di sicurezza specifiche per il cloud, le aziende devono essere sicure che i loro provider almeno rispettino lo standard per Sistema di Gestione della Sicurezza Informatica (Iso27001) e che siano conformi con lo standard di Audit delle Service Organization (Sas70), progettati al fine di garantire le basi per gli audit da parte di terzi, ed attuano e rispettano i principi dell'Ocse in materia di sicurezza delle informazioni e dei sistemi di rete.
In particolare, i clienti dovrebbero classificare i dati ed i sistemi al fine di comprendere i requisiti di conformità, e avrebbero anche bisogno di conoscere dove risiedono i dati, non escluse le copie di backup che vengono effettuate e le modalità di loro archiviazione, nonché di mantenere il diritto di effettuare controlli su richiesta, dal momento che la legislazione e le esigenze di business sono in continua evoluzione.
Alla luce di tutto ciò, per Dimension Data la soluzione più elementare è quella di optare inizialmente per un cloud privato, che impatta meno sugli aspetti della sicurezza e prevede la virtualizzazione per un utilizzo interno e, quindi, da parte di personale già autorizzato. Questo può creare le basi di una metodologia di lavoro basata sul cloud e facilitare, in un momento successivo, il passaggio al cloud ibrido o pubblico.
Link correlati
- Dimension Data: praticate la trasformazione
- Infrastrutture: svoltare all'Opex tutti insieme
- Il cloud? Da sempre nel Dna di Rim
- Cloud service: Rim ospita Office 365
- La sicurezza nel cloud? È questione di fiducia
- Nell'era cloud il Cio dovrà innovare insieme alle Hr
- C'è un cloud fatto di immagini per capire il territorio
- Contratti cloud: individuati i rischi chiave
- Ibm con un software trasforma il datacenter in un cloud
- A non misurare il cloud ci si perde
- Cloud, il più veloce è Azure
- Russ Artzt: oggi creerei una società per il cloud
- Gartner: Bpm e cloud convergono
- Coviello: basta promesse e più fatti per un cloud credibile
- Se l'agenda del Cio si infittisce di cloud serve un quick win
- Il cloud non è per tutte le applicazioni enterprise
- Reti aziendali stressate nell'anno del cloud
- I Cio a Gartner: con il cloud si cresce
- Se ben impostato il cloud storage conviene a tutti
- Cloud e mobile: nuovi target per nuove minacce
- Anno nuovo, cloud nuovo
- Il cloud aiuta la funzione acquisti
- Microsoft: spostate i workload a basso valore aggiunto su cloud
- Modello ibrido: strada maestra per lo storage cloud
- Perché il cloud storage fa bene al disaster recovery
- Cloud in Italia: il piano romano
- Un codice di regolamentazione per il cloud
Rss