La protezione negli ambienti di cloud computing

«La complessità della sicurezza informatica è come l’entropia dell’universo: in continua crescita – ha esordito Jean Paul Ballerini, Iss Technical Sales Leader & X-Force Expert di Ibm South West Europe -. L’introduzione del cloud computing non è sfuggi …

«La complessità della sicurezza informatica è come l’entropia dell’universo: in continua crescita – ha esordito Jean Paul Ballerini, Iss Technical Sales Leader & X-Force Expert di Ibm South West Europe -. L’introduzione del cloud computing non è sfuggita a questa legge naturale; mentre da un lato l’aspetto operazionale si semplifica, quello della sicurezza fa esattamente il contrario. In particolare, vengono esaltate problematiche legate alla sicurezza del dato o dell’applicazione, e altre legate alla possibilità di dimostrare la conformità con le varie normative che ci regolano».

I dubbi che le aziende utenti hanno quando si parla di cloud computing sono quelli di sapere dove si trovano i loro dati. «In effetti, nella sua accezione più pura, il cloud non ha frontiere – ha osservato il manager – ed è quindi fondamentale ottenere un certo numero di garanzie su dove, ma soprattutto come il dato verrà trattato. Ogni azienda affronta la sicurezza informatica in linea con le necessità del proprio business; ciò nonostante, nel momento in cui il dato esce dalla propria rete, alcuni aspetti fondamentali devono essere attentamente analizzati: Come viene trasferito il dato dall’azienda al cloud e come viene trasferito all’interno del cloud? Quali sono le misure di sicurezza offerte dal servizio? Riguardo al “dove”, la questione che si pone è legata alla legislazione; in Italia la legge sulla privacy gioca un ruolo fondamentale per indurre le aziende a proteggere i dati sensibili. Questo non è altrettanto vero in molti altri paesi sia europei ma soprattutto extra-europei». Sul fronte sicurezza delle applicazioni, come emerge dalle statistiche, nel mondo applicativo (soprattutto quello esposto sulla rete) «vengono continuamente identificate vulnerabilità che possono essere sfruttate sia per prendere il controllo del sistema sia per ottenere accesso non autorizzato ai dati – ha spiegato Ballerini -. Molti servizi vengono offerti su piattaforme virtualizzate, e la sicurezza di queste è tutt’altro che garantita; solo recentemente si sono visti i primi passi nella buona direzione. Rimane il fatto che quasi nessuna tecnologia viene sviluppata considerando le problematiche della sicurezza, che rimangono aperte quanto queste, e i servizi a esse associate, sono rese disponibili sul mercato. Un particolare accenno è obbligatorio a una forma particolare di cloud, ovvero quella dove anziché offrire il software come servizio, viene offerta la capacità computazionale. Mentre da un lato questo offre il grande vantaggio di avere il controllo di quali applicazioni sono in uso, di quali sono le misure di sicurezza all’interno del sistema e di quali sono gli utenti che hanno accesso, dall’altro lato esalta l’aspetto più “sfuggevole” del cloud, poiché diventa estremamente complesso capire su quale hardware il sistema è in esecuzione, può essere più di uno, e dove sono trattati certi dati, riproponendo quindi le problematiche prima esposte».

Riguardo, invece, alla compliance, si potrebbe probabilmente aprire un dibattito filosofico se sia più difficile raggiungerla, messa a norma, o se sia più difficile dimostrarla. «Certo è che quest’ultimo elemento è quello fondamentale, poiché se non è dimostrata, la compliance non è ufficialmente raggiunta – ha concluso Ballerini -. Ne consegue che quando viene acquisito un servizio offerto nel cloud devono essere presi in considerazione, come minimo, tutti quegli aspetti di governance che permettono di dimostrare il rispetto di normative e legislazioni. Questo è ancora più importate quando ci si trova ad affrontare servizi offerti in geografie diverse che, di conseguenza, sono regolate da legislazioni diverse».

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome