Nella gestione degli ambienti cloud ibridi, la principale preoccupazione delle aziende è la sicurezza informatica. Questo non dovrebbe sorprendere, specialmente se si considera che negli ultimi dodici mesi ben nove aziende su dieci hanno subito violazioni di dati. Secondo i ricercatori di Cybersecurity Ventures, l’insieme dei danni causati dalla criminalità digitale equivale al più grande trasferimento di ricchezze nella storia.
Secondo Tim Moody, Head of Portfolio & Strategy di Fujitsu, parte dei problemi legati alla sicurezza è rappresentata dal fatto che l’infrastruttura IT è oggi sempre più complessa e, per questo, sempre più difficile da difendere: il 30-40% dei punti critici di un’azienda esposti agli attacchi esterni è perlopiù sconosciuto anche a chi dovrebbe proteggerla. Il problema si è andato via via aggravando con l’introduzione dell’IoT e con il ricorso sempre maggiore ai servizi cloud pubblici, alle API (application programming interface) alla distribuzione della forza lavoro anche al di fuori dei confini dell’azienda; elementi che hanno portato all’aumento delle superfici di attacco e alla loro decentralizzazione.
I danni derivanti da un attacco possono essere catastrofici: stando al Cost of a Data Breach Report 2021, redatto dal Ponemon Institute, il costo medio di una violazione dei dati in ambienti cloud ibridi è pari a 3,61 milioni di dollari (per incidente). Lo studio ha rilevato anche che, in media, occorrono 287 giorni per identificare e contenere una violazione dei dati.
È esagerato definire il cloud “non sicuro”
Una volta, affidarsi ad un cloud pubblico era considerata una scelta rischiosa per tutto l’ambiente IT. Dopo circa due decenni dalla sua introduzione, questa percezione è cambiata: dove un tempo gli utenti non erano preparati per affrontare le minacce a cui rischiavano di esporsi, oggi i fornitori di cloud pubblico su larga scala investono nella cybersecurity come poche altre realtà ed offrono livelli di sofisticazione nelle loro soluzioni per la sicurezza difficili da eguagliare.
Per fare alcuni esempi concreti, in un recente incontro con il Presidente degli Stati Uniti, Joe Biden, Google si è impegnata a investire 10 miliardi di dollari nei prossimi cinque anni e a formare 100.000 persone in più in ambito cybersecutiry – e questo, solamente negli USA. Microsoft ha dichiarato di aver speso, a partire dal 2015, un miliardo di dollari all’anno per la sicurezza informatica, impegnandosi a portare il proprio investimento complessivo per fornire strumenti di sicurezza più avanzati a 20 miliardi di qui a cinque anni.
I leader alla guida
Quasi tutte le imprese utilizzano il cloud pubblico, se pur in percentuale variabile. Poche aziende, infatti, operano in un ambiente che sia al 100% cloud pubblico – anzi, la percentuale di quelle che lo fanno è probabilmente oggi ad una sola cifra.
La maggior parte delle organizzazioni gestisce anche infrastrutture on-premises, spesso fornendo un servizio di cloud privato ai propri utenti. Questa combinazione di cloud pubblico e privato è ciò che si intende con l’espressione di “cloud ibrido”.
In un contesto in cui le minacce informatiche sono in costante aumento, una recente ricerca condotta da Fujitsu ha identificato un piccolo gruppo di aziende che è già riuscita a puntare sulla propria infrastruttura di cloud ibrido per rafforzare la propria resilienza e dare un forte impulso agli obiettivi di trasformazione aziendale.
Quelle realtà che sono state identificate come “leader” del cloud ibrido – che rappresentano un terzo (33%) del campione – hanno saputo gestire meglio i rischi rispetto agli altri, il gruppo dei “follower”. I leader, si legge nella ricerca, sono riusciti ad evolvere la propria gestione del cloud ibrido, in modo da supportare la crescita e ridurre i rischi: si sono dichiarati il 60% più fiduciosi dei follower nella loro capacità di poter risolvere i problemi relativi alla sicurezza, ed il 75% in più in quella di saper gestire la conformità all’interno del loro ambiente ibrido.
Tuttavia, pur sentendosi significativamente più sicuri rispetto ai follower, i leader non si sono definiti soddisfatti. Meno di un terzo di loro, infatti, ha affermato di sentirsi completamente in grado di gestire le questioni legate alla conformità o alla sicurezza.
Approccio Zero Trust: non fidarsi di nessuno
Di fronte a sfide sempre più impegnative per garantire la sicurezza, una delle risposte migliori è rappresentata dall’adozione di un approccio zero trust (“fiducia zero”) – soprattutto in presenza di una percentuale sempre maggiore di lavoratori che operano da remoto. Il COVID-19 ha infatti posto le aziende di fronte all’annoso problema di come proteggere un’organizzazione quando la sua forza lavoro è distribuita a livello globale.
Per “fiducia zero” si deve intendere l’implementazione di un rigoroso processo di verifica dell’identità, che consideri ogni tentativo di accesso a reti, applicazioni e dati come una potenziale minaccia. Quando si tratta di ambienti cloud ibridi, questa misura di sicurezza può essere cruciale per mantenere l’integrità tra aree pubbliche e private e tra dispositivi multipli.
I modelli “zero trust” possono aiutare davvero i clienti a garantire un ambiente operativo sicuro e, per questo, stanno diventando sempre più diffusi.
L’approccio cauto e ponderato necessario a costruire un sistema di sicurezza efficace spesso è in netto contrasto con quanto richiesto dal frenetico mondo dell’innovazione. Tuttavia, per quanto complesso, è essenziale riuscire a conciliare queste due istanze per proteggere l’azienda.
La chiave è gestire la sicurezza “dal basso verso l’alto”. Questo significa che, per ogni nuova funzionalità sviluppata utilizzando servizi ibridi, gli elementi per renderla sicura dovrebbero essere già parte integrante della piattaforma su cui questa innovazione si basa (e non venire aggiunti da ultimo).
La ricerca di Fujitsu sottolinea la necessità di innovare, inserita fra le maggiori priorità di trasformazione delle aziende, assieme alla creazione di esperienze digitali senza soluzione di continuità e all’aumento di ricavi derivanti dall’utilizzo delle tecnologie emergenti.
È emerso che i leader del cloud ibrido possono raggiungere questi obiettivi in modo più efficace rispetto agli altri. Ad esempio, quasi la metà (49%) dei leader ha lavorato per migliorare l’innovazione dei propri prodotti nell’ultimo anno, rispetto ad appena il 39% dei follower.
“Ormai dobbiamo ragionare in termini di cybersecurity-by-design, è questo che ci dice la ricerca Fujitsu” sottolinea Giovanni Landi, Portfolio Director di Finix Technology Solutions. “Per questo anche in Italia, dove rappresentiamo Fujitsu in forma esclusiva, offriamo soluzioni di sicurezza informatica fin dalle prime fasi della migrazione al cloud, quando si discute di architettura e non ancora di implementazione”.
Generare crescita
Per le aziende che riescono a migliorare la propria sicurezza sistemica, i vantaggi vanno ben oltre la mera protezione dalle minacce esterne. La ricerca di Fujitsu mostra infatti che il 37% degli Hybrid Cloud Leaders ritiene che il miglioramento della sicurezza attraverso un modello ibrido faciliti anche la crescita del business.
Il messaggio complessivo è chiaro: essere proattivi sulla sicurezza crea un solido vantaggio competitivo, generando risultati importanti in termini di business. Negli ecosistemi di cloud ibrido in cui la maggior parte delle aziende opera oggi, questo significa investire nella promozione di una cultura collaborativa, sicura fin dalla progettazione, e in strumenti e processi di sicurezza automatizzati.
“La cultura della cybersecurity è fondamentale a tutti i livelli aziendali”, aggiunge ancora Landi. “Per questo, sul mercato italiano, siamo impegnati a promuovere innovative soluzioni per la sicurezza che, oltre a funzionalità classiche di analisi, favoriscono anche una formazione continua di tutti i dipendenti, al fine di migliorare la security awareness dell’intera azienda”.
Per approfondire, è possibile consultare il rapporto completo “Unlocking the Secrets of Hybrid Cloud Leaders“.
