Sicurezza del cloud: la responsabilità è in mano all’utente

Gli standard non aiutano e la legge è in ritardo. La via migliore per iniziare è sempre il cloud privato. Lo sostiene Dimension Data, esaltando il ruolo pivotale del system integrator.

Molte aziende già utilizzano in modalità cloud alcune applicazioni di business come automazione della forza vendita, posta elettronica e collaboration. Parrebbe quindi che il tema della sicurezza sia già stato valutato.

Invece no, se si sta agli esiti di un sondaggio effettuato su 100 responsabili della sicurezza in tutto il mondo: i due terzi degli intervistati non ha ancora adottato una strategia di sicurezza per il cloud computing.

Per Dimension Data per raggiungere la sicurezza del cloud è necessario non solo che i fornitori siano in grado di garantire i servizi di sicurezza basilari, ma richiede che le aziende siano consce del fatto che il cloud aggiunge nuovi elementi di rischio, che vanno valutati già in fase di disegno della nuova architettura, scegliendo il livello di servizio che più risponde alle necessità dell’azienda e decidendo quali componenti dell’infrastruttura portare su fornitori esterni, quali mantenere internamente e per quali adottare soluzioni ibride.

La principale area di rischio è dovuta al fatto che per cloud ibridi o pubblici il cliente non ha il controllo del luogo in cui risiedono tutti o parti dei dati, del modo in cui sono elaborati, archiviati ed eliminati, e può non avere una chiara visibilità di chi vi accede.

Per Dimension Data esistono metodi per ridurre il rischio: primo fra tutti lavorare con un system integrator caratterizzato da competenze su queste tematiche e in grado di gestire per conto di un’azienda cliente l’infrastruttura e le operation verso il provider.

Deve essere chiaro che, anche se l’azienda cliente non ha il controllo o la gestione dell’infrastruttura tecnologica del cloud, l’onere per la riduzione del rischio è ancora a suo carico.
Innanzitutto, perché i provider di soluzioni cloud generalmente non modificano il loro ambiente di sicurezza su richiesta. Pertanto, l’azienda cliente deve necessariamente comprendere le proprie esigenze in termini di sicurezza, al fine di selezionare un provider con un ambiente adatto alle proprie necessità.

Di conseguenza, è opportuno che l’azienda cliente effettui una valutazione del rischio, ipotizzando uno scenario che comprenda non solo gli aspetti tecnologici ma anche i l’impatto sull’organizzazione ed i processi oltre che sulla propria propensione alla gestione di rischi aggiuntivi al fine di ottenere benefici di business.

Allo stesso tempo la valutazione mostrerà quali soluzioni di sicurezza dovranno caratterizzare l’infrastruttura del provider, al fine di proteggere i dati del cliente.

E gli standard non aiutano: a oggi non ne sono ancora stati definiti nel campo della sicurezza per il cloud, anche se un buon punto di partenza è fornito da iniziative e alleanze fra le più importanti aziende del settore (Open Cloud Manifesto) e da esperti di sicurezza (Cloud Security Alliance).

Anche la legge è in ritardo e c’è una questione di competenza. I dati potranno essere ritenuti sicuri in un paese ma non in un altro.
In molti casi, gli utenti dei servizi di cloud non sono a conoscenza dei luoghi dove i dati sono conservati o da cui vengono operate le loro applicazioni.

Le aziende devono tener presente che i contratti sono la chiave per l’applicazione delle normative giuridiche e devono pertanto essere negoziabili, al fine di riflettere le specifiche esigenze delle aziende, nonché la natura dinamica del cloud, garantendosi la conformità alle normative locali e la possibilità di passaggio il più possibile indolore ad altro fornitore o di ritorno in un momento successivo ad una situazione di completa proprietà e sicurezza degli asset.

Va ricordato che, mentre i provider di cloud sono i custodi dei dati, i loro clienti, proprietari dei dati, sono legalmente responsabili per la conservazione degli stessi.

In mancanza di norme di sicurezza specifiche per il cloud, le aziende devono essere sicure che i loro provider almeno rispettino lo standard per Sistema di Gestione della Sicurezza Informatica (Iso27001) e che siano conformi con lo standard di Audit delle Service Organization (Sas70), progettati al fine di garantire le basi per gli audit da parte di terzi, ed attuano e rispettano i principi dell’Ocse in materia di sicurezza delle informazioni e dei sistemi di rete.

In particolare, i clienti dovrebbero classificare i dati ed i sistemi al fine di comprendere i requisiti di conformità, e avrebbero anche bisogno di conoscere dove risiedono i dati, non escluse le copie di backup che vengono effettuate e le modalità di loro archiviazione, nonché di mantenere il diritto di effettuare controlli su richiesta, dal momento che la legislazione e le esigenze di business sono in continua evoluzione.

Alla luce di tutto ciò, per Dimension Data la soluzione più elementare è quella di optare inizialmente per un cloud privato, che impatta meno sugli aspetti della sicurezza e prevede la virtualizzazione per un utilizzo interno e, quindi, da parte di personale già autorizzato. Questo può creare le basi di una metodologia di lavoro basata sul cloud e facilitare, in un momento successivo, il passaggio al cloud ibrido o pubblico.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome