Alcuni falsi miti che i Cio devono sfatare

Per Steve Hughes, principal cloud specialist di Colt, le domande da porsi vanno oltre sicurezza, normative e conformità.

Diciamolo subito: il rischio generato dalla perdita di dati su valore del marchio, fiducia
dei clienti e valore azionario di una società è identico a
prescindere dal fatto che i dati vengano archiviati nel cloud computing o
in un'infrastruttura di tipo tradizionale.

Ne è convinto Steve Hughes, principal cloud specialist presso Colt che, in un recente articolo d'opinione, fa presente come la gravità di tale rischio sarebbe dimostrata dalle leggi emanate in materia, quale il recente Criminal Justice and Immigration Bill, che assegnerebbe all'Information Commissioner's Office la facoltà di imporre multe fino a 500mila sterline alle organizzazioni che perdono informazioni riservate o personali “per evidente noncuranza”.

Dato per scontato che “la sicurezza dovrebbe rappresentare una delle principali priorità nelle agende dei responsabili dei sistemi informativi in azienda”, per l'esperto di Colt le domande che i Cio dovrebbero realmente porsi si riassumono in tre assunti.

Chi controlla chi
Il primo è che, “sia che si decida di posizionare i dati nel cloud che di creare una piattaforma di hosting utilizzando server dedicati, la sicurezza deve rimanere il fattore d'interesse primario per i chief information officer”.

Considerando, però, che le politiche e le procedure di sicurezza riguardano tutti gli utenti di un'azienda, non è possibile delegare in toto la gestione della sicurezza a un fornitore di servizi cloud.

Quel che Hughes ribadisce nel suo articolo di opinione, è che “i firewall e i criteri che li regolamentano continuano ad avere valore indipendentemente dal fatto che si faccia affidamento su un'infrastruttura virtuale o fisica”, mentre è “analogamente necessario continuare a osservare le consuete procedure di sicurezza aziendali, quali la modifica delle password o l'applicazione di diversi livelli di autorizzazione”.

Ciò detto, “i Cio sono tenuti a verificare che i fornitori di servizi possano aiutarli a destreggiarsi tra le diverse norme in atto e a comprendere chiaramente a chi spetta la responsabilità dell'applicazione di ogni singola parte della politica di sicurezza" che si è scelto di adottare.

Il cloud come qualsiasi altro servizio It
In tal senso, il secondo punto su cui i responsabili dei sistemi informativi dovrebbero interrogarsi riguarda livelli di servizio più affidabili a garanzia di una protezione adeguata, una questione che, per certi versi, avvalorerebbe il medesimo concetto espresso in termini di sicurezza.

Le aziende che adottano il cloud computing devono, infatti, optare per un approccio che vede i dipendenti attenersi rigorosamente al Service level agreement adottato tenendo, però, conto del fatto che "fare affidamento esclusivamente sullo Sla non garantisce prestazioni ottimali".

Il suggerimento di Hughes è, allora, di prevedere l'applicazione di penali in caso di tempi di inattività interrogandosi allo stesso tempo sui servizi cloud come se si trattasse di qualsiasi altro servizio It in uso presso l'azienda e chiedendosi qual è il livello di tolleranza dell'organizzazione in fatto di tempi di inattività.

Sulla medesima falsa riga, per lo specialista dell'information delivery platform, occorre ragionare in termini di servizi di disaster recovery e di backup disponibili "per un servizio che non risulti solo conveniente ma sia anche basato sul miglior risultato possibile per rispondere e supportare il business aziendale nell'eventualità che si verifichi uno scenario di disastro".

Pubblico vs privato: quali risultati si vogliono ottenere?
Ciò detto, l'ultima constatazione a opera di Hughes è che “i servizi cloud hanno subito una considerevole evoluzione dal momento della loro prima definizione da parte del Nist nel 2009”. In tal senso, il cloud privato “non dovrebbe essere considerato come garanzia di sicurezza”.

Al più, il fatto che si tratti di un cloud dedicato a una specifica organizzazione potrebbe ridurre il rischio che venga utilizzata una piattaforma condivisa da molti utenti, “ma anche in questo caso la sicurezza risulta garantita solo in base alle politiche e alle procedure applicate dall'azienda stessa”.

In altri termini: “I firewall continuano a richiedere dei criteri che li regolamentino, i datacenter continuano a richiedere la sicurezza fisica e un cloud privato può dimostrarsi più sicuro di un cloud pubblico, sebbene continui ad essere esposto, al pari di qualsiasi altro sistema, al rischio di una gestione inefficiente e dell'errore umano”.

Ma per l'autore dell'articolo d'opinione qui riassunto, i criteri decisionali per l'implementazione del cloud privato o pubblico non dovrebbero limitarsi al fatto che il primo venga percepito come più sicuro. Fatto salvo che un Cio è tenuto a interrogarsi su quali siano gli obiettivi ultimi della propria organizzazione, “il cloud computing è in grado di garantire vantaggi reali nella modalità in cui le aziende utilizzano le risorse It”.

Peccato che la ricerca annuale condotta da Colt sul cloud dimostri che la maggior parte delle aziende sta utilizzando o indirizzando i servizi di cloud computing in diverse aree dell'azienda, ma che poche di esse stanno implementando appieno i servizi della nuvola.

Stando ai dati ufficializzati da Hughes, l'implementazione di servizi cloud nella cosiddetta azienda estesa avrebbe raggiunto un esiguo 16%, mentre l'implementazione parziale di servizi cloud avrebbe registrato una percentuale media del 35%.
Ciò a dimostrastrazione “che le aziende stanno adottando il cloud computing, ma solo pochissime hanno scelto di passare al cloud in toto”.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here