Quando i membri di un consiglio di amministrazione si trovano a discutere di sicurezza cloud, solitamente si dividono in due categorie: quelli contrari allo spostamento dei dati aziendali su piattaforme cloud a causa di problemi di sicurezza, e quelli che, anche se preoccupati per la sicurezza del cloud, lo hanno già adottato. Magari utilizzando piattaforme come Office 365, Salesforce o Amazon Web Services.
È quindi essenziale che i CISO (Chief Information Securoty Officer) o comunque coloro che sono deputato alla gestione della cybersecurity aziendale, come gli It manager, siano coinvolti nella conversazione sul cloud in modo da poter comunicare ai top manager che la sicurezza non deve essere valutata a posteriori.
Mauro Palmigiani di Palo Alto Networks ha quattro suggerimenti da rivolgere ai CISO quando affrontano il tema della sicurezza del cloud con i membri del consiglio di amministrazione.
Il cloud è un altro rischio
È molto più facile per i membri del consiglio di amministrazione cogliere l’importanza della sicurezza del cloud se inquadrata in termini di rischio per il business.
Questi signori prendono decisioni sui rischi ogni giorno e il cloud per loro è solamente un altro di tali rischi.
Ogni applicazione cloud è un insieme diverso di dati che ciascuna organizzazione dovrà valutare in modo differente.
Ad esempio, se un’azienda archivia documenti pubblici di marketing nel cloud, il rischio che ciò incida materialmente sul business se i documenti dovessero trapelare non è così alto.
Invece, se la società archivia la library del codice sorgente di un nuovo prodotto nel cloud, il rischio di impatto materiale se il codice sorgente venisse trafugato è molto elevato.
La sicurezza nativa del cloud pubblico non basta
Il consiglio dovrebbe comprendere le basi di ciò che è il cloud pubblico e in che modo è protetto. Quasi tutti i service provider cloud hanno qualche forma di sicurezza nativa integrata nella loro piattaforma.
Spesso si presume che questo livello di sicurezza sia sufficiente, ma non è così. Aziende e provider di cloud pubblico condividono la responsabilità della sicurezza cloud, dove la sicurezza dell’infrastruttura viene gestita dal cloud provider e quella dei dati è responsabilità dell’organizzazione.
In realtà, i dati nel cloud sono sicuri solo quanto i dati archiviati in qualsiasi altro punto dell’organizzazione. Pertanto, se vengono adottate misure di sicurezza aggiuntive per proteggere i dati che non risiedono nel cloud, tali misure dovrebbero essere estese anche i dati che vi risiedono.
Inoltre, le misure di sicurezza del cloud devono essere completamente integrate con il resto dell’architettura di sicurezza e comunicare con essa in modo automatizzato. In questo modo, l’organizzazione ha una maggiore possibilità di impedire che un attacco informatico violi con successo i dati.
La sicurezza cloud non è un tipo diverso di sicurezza
Spesso, la sicurezza del cloud viene considerata come una tipologia di sicurezza diverso che richiede un approccio diverso. In realtà bisognerebbe domandarsi se non sarebbe ideale gestire la sicurezza dei servizi cloud nello stesso modo in cui l’azienda gestisce la sicurezza dietro il perimetro, nel data center e sui dispositivi mobili.
Non solo è possibile, ma se c’è qualche speranza di prevenire attacchi informatici – sia nel cloud, sulla rete o a livello di endpoint – i manager dovrebbero supportare un approccio coerente alla gestione della sicurezza in tutta l’azienda. I CISO sanno che la gestione e l’orchestrazione di molteplici approcci e prodotti di sicurezza complicano gli ambienti, lasciando più spazio per errori, rischi e relativi costi. Evidenziare tali rischi e costi potenziali è qualcosa che il consiglio può apprezzare e comprendere, considerandoli quindi prioritari.
L’idea di di prevenzione include la protezione del cloud
I consigli di amministrazione più all’avanguardia abbracciano una filosofia di prevenzione quando si tratta di sicurezza informatica. La base di tale filosofia è avere visibilità e protezione coerente in tutta l’azienda, sia nel data center, dietro il perimetro, sui dispositivi mobili o nel cloud.
Con l’aiuto dei loro CISO, til management può capire che, al fine di evitare problemi, la prevenzione dovrebbe essere l’obiettivo principale e la base di ogni decisione di investimento sulla sicurezza.
Per i CISO che cercano di far riflettere i responsabili in questo senso, è essenziale dimostrare come un approccio olistico alla sicurezza, compreso il modo in cui il cloud viene protetto, può mitigare i rischi per l’azienda e prevenire attacchi informatici di successo.
