Le nuove tecnologie digitali stanno guidando il cambiamento in tutti i settori a un ritmo senza precedenti. Per rimanere competitive in questo mondo in rapida evoluzione, le organizzazioni necessitano soprattutto di velocità e agilità. L’infrastruttura e i servizi basati sul cloud promettono esattamente di rispondere a queste necessità.
Secondo Sherelle Farrington, Cloud Security Solutions Manager di Fortinet, con le loro economie di scala e i prezzi flessibili e basati sul consumo, i servizi cloud offrono l’accesso a una tecnologia all’avanguardia con una scala globale virtualmente illimitata, senza l’investimento di capitale che invece sarebbe richiesto dall’adozione di una soluzione in-house.
La realizzazione del pieno potenziale del cloud richiede una serie di cambiamenti fondamentali, non solo nella concezione, delivery e nelle operation dei servizi IT e OT, ma anche nella cultura e nella struttura organizzativa dell’intera realtà che abbia intenzione di adottarlo.
La cybersecurity svolge un ruolo fondamentale in questa transizione, in quanto consente di cogliere questa opportunità, assicurando al tempo stesso che le ambizioni alla base dell’adozione del cloud non mettano a rischio l’intera organizzazione. Affrontare questa sfida richiede che i team che si occupano della sicurezza informatica affrontino essi stessi la transizione al cloud. Il compito può apparire sfidante, ma ci sono alcuni fattori abilitanti che si sono dimostrati essenziali per raggiungere l’obiettivo.
La diversità è una risorsa
Team diversi spesso possono scegliere un diverso ambiente cloud da utilizzare, in base alla loro familiarità con alcune piattaforme specifiche o alle loro particolari esigenze e obiettivi. Spesso non è possibile fare in modo che tutti utilizzino un’unica opzione selezionata a livello centrale, nonostante possa sembrare quella più semplice da gestire. Una scelta di questo tipo può infatti ridurre la soddisfazione del personale, aumentare il time to value e limitare i potenziali benefici che l’azienda sta cercando di ottenere attraverso l’adozione del cloud.
Secondo Fortinet, il 76% delle organizzazioni utilizzano due o più provider di servizi cloud, tale dato rende ancora più evidente come i team che si occupano di cybersecurity e networking debbano supportare attivamente le aziende in questo sforzo, fornendo lo stesso livello di protezione e connettività richiesto per proteggere e integrare una gamma diversificata di ambienti cloud.
Parola chiave: standardizzare
Farrington ritiene che l’unico modo possibile per fornire una protezione costante attraverso piattaforme cloud molto diverse tra loro, sia quello di standardizzare. Astraendo la sicurezza dall’ambiente sottostante, le organizzazioni possono fare in modo che una stessa protezione di livello enterprise possa essere ottenuta in una gamma diversificata di ambienti. Tutto ciò fornirà alle aziende la libertà – e la fiducia che ne deriva – di poter selezionare una specifica piattaforma.
Un framework unificato e collaborativo semplifica il difficile compito dei team che si occupano di sicurezza, ovvero fornire protezione e ottenere al tempo stesso ampia visibilità in uno scenario digitale vario e distribuito. Le operations diventano più semplici, la delivery è più efficiente, la curva di apprendimento è più bassa e la protezione complessiva aumenta. Non adottare un modello di questo tipo, viceversa, comporta il rischio di imbattersi in sfide e barriere che possono frenare la transizione verso il cloud.
Adottare pratiche DevOps
L’integrazione della sicurezza negli ambienti cloud agili richiede che i security e networking team adottino pratiche, strumenti, cultura e mentalità DevOps, sottolinea la manager di Fortinet. La sicurezza stessa diventa così codice – secondo l’approccio denominato “Infrastructure as Code (IaC)” – o semplicemente un servizio da consumare orchestrato da strumenti DevOps, convalidato nella propria pipeline CI/CD (Continuous Integration/Continuous Deployment) e indirizzato in repository centrali per l’accesso di più team.
Questa “Security ad a Code” o “as a Service” deve essere self-service, flessibile e modulare; deve inoltre integrare una cyber defense in tempo reale per mitigare proattivamente i rischi – siano essi derivanti da attacchi, vulnerabilità o semplici errori – e sfruttare l’AI e il machine learning per ridurre al minimo l’attrito. Fondamentalmente, i team di sicurezza devono fornire la scala on-demand l’agilità tipici del mondo DevOps. L’automazione e le API sono la chiave.
Il vantaggio DevSecOps
I team che hanno in carico la security e il networking e che sono in grado di padroneggiare il cloud ed eccellere nel mondo agile sono in grado di fornire un vero business value alle organizzazioni in cui operano. Un team integrato di Development, Security e Operations (DevSecOps) sfrutta le sue competenze multidisciplinari e allinea gli obiettivi in modo da poter fornire migliori risultati, con meno rischi e in modo più efficiente ed efficace.
Con la sicurezza come elemento integrale dell’ambiente nella sua interezza – in ogni fase del ciclo di vita del software – i rischi sono gestiti meglio e i design sicuri sono costantemente convalidati. Questo riduce al minimo il rischio di incappare in sorprese inaspettate o costose riprogettazioni mentre il codice passa dalla fase di sviluppo, al test, al deployment. E poiché gli ambienti possono essere diversi nelle varie fasi, un approccio multipiattaforma alla sicurezza semplifica questo compito. L’astrazione e l’automazione sono, nuovamente, assolutamente vitali.
Investire nell’upskilling
L’adattamento a queste nuove modalità di lavoro, nuovi ambienti e nuovi strumenti, richiede che siano gli individui stessi ad adattarsi. Ora tutto è codice e ogni ambiente cloud è completamente unico e proprietario. I team devono perciò comprendere come progettare la sicurezza in questi mondi, così come i servizi e le diverse opzioni disponibili, per poi decidere come utilizzarli al meglio. Tutto questo diventa ancora più impegnativo quando i team adottano i microservizi.
Per accelerare questo processo, i team possono sfruttare l’esperienza del vendor, nel progettare e integrare la sicurezza in tutti i diversi ambienti cloud per una vasta gamma di scenari impiegati dai clienti. I loro design modulari testati e messi alla prova forniscono modelli di base che possono essere personalizzati e adattati per soddisfare qualsiasi esigenza specifica. Molti di essi offrono anche formazione gratuita, integrando l’offerta anche con consulenza e servizi professionali per aiutare ad accelerare la transizione dei team verso il cloud.
Sfruttare appieno i vantaggi offerti dal cloud
Oltre a sostenere e garantire la transizione al cloud di altri gruppi di lavoro, chi si occupa di sicurezza e networking può trarre vantaggio dal cloud per fornire i propri servizi. I team possono infatti cogliere l’opportunità che nasce dall’avvio di nuovi progetti o dalla necessità di rinnovare le soluzioni di sicurezza già esistenti, per valutare le loro opzioni nello stesso modo in cui lo fanno i loro colleghi delle application.
Il cloud offre quindi l’opportunità di trasformare il modo in cui la sicurezza e la connettività stesse vengono fornite. Le domande da porsi riguardo la sua implementazione sono le seguenti:
Dovremmo costruirlo o semplicemente utilizzarlo “as a service” – Security as a Service (SecaaS)?
Se si decide di costruirlo, dovrebbe essere in cloud o on-premises?
Se in cloud, quale cloud dovremmo scegliere?
Quali servizi cloud possiamo sfruttare per automatizzare la gestione del rischio, la difesa dalle minacce e la compliance?
Creare un centro di eccellenza per il cloud
La transizione al cloud non è un compito semplice, avverte Farrington. Richiede skill adeguate e la struttura giusta per essere messa in atto in tutta l’organizzazione. Richiede coordinamento, allineamento e accordo tra diverse funzioni aziendali e team. Un Cloud Center of Excellence (CCoE) è sicuramente l’approccio migliore per consentire questa transizione.
Si tratta di un team multidisciplinare che può accelerare l’adozione del cloud riunendo le competenze chiave e le capacità di fornire la standardizzazione e l’automazione fondamentali per il successo del cloud. Non si tratta di creare un team statico di esperti di tecnologia, bensì di una comunità composta da stakeholder provenienti dalla tecnologia, finanza, procurement e business che si evolve in linea con le esigenze dell’organizzazione per raggiungere gli obiettivi aziendali determinati dall’adozione del cloud e gestire al tempo stesso il rischio.
Coinvolgere il management
Attuare con successo la transizione al cloud richiede nuovi processi organizzativi, strutture e una significativa riqualificazione della forza lavoro. Avere l’approvazione dell’esecutivo è pertanto cruciale. La buona notizia è che sia il cloud che la cybersecurity sono ora argomenti chiave per il board aziendale. Questo crea un’opportunità che i professionisti della cybersecurity che abbiano anche un occhio per il business possono sicuramente sfruttare.
Per raggiungere l’obiettivo è importante imparare come coinvolgere e comunicare con i dirigenti, utilizzando un linguaggio adeguato orientato al business. È necessario articolare chiaramente il valore aziendale che la cybersecurity e le nuove strutture possono offrire all’organizzazione in termini di time to value, vantaggio competitivo, valutazione del business, rischi da gestire e conformità normativa. Tutto ciò è sicuramente molto importante nel modificare il ruolo che la sicurezza gioca all’interno dell’azienda e nell’ottenere il supporto per le attività chiave.
Se gestito in maniera adeguata, il passaggio al cloud porta con sé velocità, agilità e servizi all’avanguardia, che preparano le organizzazioni e le aziende al successo digitale. Per i team di cybersecurity e networking, esso rappresenta un’opportunità per far evolvere il loro ruolo e posizionarsi come abilitatori fondamentali nel processo che porterà al successo le realtà in cui operano.
