E’ l’utente il responsabile della sicurezza del Cloud

Gli standard non aiutano e la legge è in ritardo. Ma in ultima analisi l’onere per la riduzione del rischio è ancora a carico del cliente finale. L’importanza del ruolo del system integrator nell’analisi di Dimension Data.

Sulla sicurezza del cloud, il dibattito è molto acceso, dove i temi della sicurezza dei dati si intrecciano alle questioni legate alla privacy.

Per Dimension Data per raggiungere la sicurezza del cloud è necessario non solo che i fornitori siano in grado di garantire i servizi di sicurezza basilari, ma richiede che le aziende siano consce di alcuni fattori:

  • il cloud aggiunge nuovi elementi di rischio, che vanno valutati già in fase di disegno della nuova architettura
  • bisogna scegliere il livello di servizio che più risponde alle necessità dell’azienda (Infrastructure as a Service, Platform as a Service, Software as a Service)
  • è necessario decidere quali componenti dell’infrastruttura portare su fornitori esterni (clou pubblico), quali mantenere internamente (cloud privato)e per quali adottare soluzioni ibride (cloud ibrido).

La principale area di rischio è dovuta al fatto che per cloud ibridi o pubblici il cliente non ha il controllo del luogo in cui risiedono tutti o parti dei dati, del modo in cui sono elaborati, archiviati ed eliminati, e può non avere una chiara visibilità di chi vi accede.

Per Dimension Data esistono metodi per ridurre il rischio: primo fra tutti lavorare con un system integrator caratterizzato da competenze su queste tematiche e in grado di gestire per conto di un’azienda cliente l’infrastruttura e le operation verso il provider.

Deve essere chiaro che, anche se l’azienda cliente non ha il controllo o la gestione dell’infrastruttura tecnologica del cloud, l’onere per la riduzione del rischio è ancora a suo carico.

Innanzitutto, perché i provider di soluzioni cloud generalmente non modificano il loro ambiente di sicurezza su richiesta. Pertanto, l’azienda cliente deve necessariamente comprendere le proprie esigenze in termini di sicurezza, al fine di selezionare un provider con un ambiente adatto alle proprie necessità.

Di conseguenza, è opportuno che l’azienda cliente effettui una valutazione del rischio, ipotizzando uno scenario che comprenda non solo gli aspetti tecnologici ma anche i l’impatto sull’organizzazione ed i processi oltre che sulla propria propensione alla gestione di rischi aggiuntivi al fine di ottenere benefici di business.

Allo stesso tempo la valutazione mostrerà quali soluzioni di sicurezza dovranno caratterizzare l’infrastruttura del provider, al fine di proteggere i dati del cliente.

E gli standard non aiutano: a oggi non ne sono ancora stati definiti nel campo della sicurezza per il cloud, anche se un buon punto di partenza è fornito da iniziative e alleanze fra le più importanti aziende del settore (Open Cloud Manifesto) e da esperti di sicurezza (Cloud Security Alliance).

Anche la legge è in ritardo e c’è una questione di competenza. I dati potranno essere ritenuti sicuri in un paese ma non in un altro.
In molti casi, gli utenti dei servizi di cloud non sono a conoscenza dei luoghi dove i dati sono conservati o da cui vengono operate le loro applicazioni.

Su questo tema si è pronunciato recentemente il presidente dell’istituto italiano della privacy che senza mezzi termini aveva affermato che il “cloud computing è per molti aspetti illecito”

Le aziende devono tener presente che i contratti sono la chiave per l’applicazione delle normative giuridiche e devono pertanto essere negoziabili, al fine di riflettere le specifiche esigenze delle aziende, nonché la natura dinamica del cloud, garantendosi la conformità alle normative locali e la possibilità di passaggio il più possibile indolore ad altro fornitore o di ritorno in un momento successivo ad una situazione di completa proprietà e sicurezza degli asset.

Va ricordato che, mentre i provider di cloud sono i custodi dei dati, i loro clienti, proprietari dei dati, sono legalmente responsabili per la conservazione degli stessi.

In mancanza di norme di sicurezza specifiche per il cloud, le aziende devono essere sicure che i loro provider almeno rispettino lo standard per Sistema di Gestione della Sicurezza Informatica (Iso27001) e che siano conformi con lo standard di Audit delle Service Organization (Sas70), progettati al fine di garantire le basi per gli audit da parte di terzi, ed attuano e rispettano i principi dell’Ocse in materia di sicurezza delle informazioni e dei sistemi di rete.

In particolare, i clienti dovrebbero classificare i dati ed i sistemi al fine di comprendere i requisiti di conformità, e avrebbero anche bisogno di conoscere dove risiedono i dati, non escluse le copie di backup che vengono effettuate e le modalità di loro archiviazione, nonché di mantenere il diritto di effettuare controlli su richiesta, dal momento che la legislazione e le esigenze di business sono in continua evoluzione.

Alla luce di tutto ciò, per Dimension Data la soluzione più elementare è quella di optare inizialmente per un cloud privato, che impatta meno sugli aspetti della sicurezza e prevede la virtualizzazione per un utilizzo interno e, quindi, da parte di personale già autorizzato. Questo può creare le basi di una metodologia di lavoro basata sul cloud e facilitare, in un momento successivo, il passaggio al cloud ibrido o pubblico.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome