Cybersecurity

Una domanda semplice: il cloud computing è sicuro?

15 Giugno 2016

Recentemente è stato chiesto a David Kennerley, Senior Manager Threat Research di Webroot di illustrare il proprio punto di vista sul cloud computing e le preoccupazioni sulla sicurezza che riguardano questo mondo.
Queste preoccupazioni sulla sicurezza sono fondate e dovrebbero essere un deterrente per le aziende nel trasferirsi su tecnologie basate sul cloud?
 
Prima di tutto, è importante notare che molte aziende, piccole e grandi, si sono trasferite negli ultimi anni sul cloud e hanno riscosso un grande successo e un eccellente ritorno sugli investimenti. Come con ogni tecnologia, ci sono molte ragioni per essere pro o contro il loro uso e la sicurezza sarà sempre il principale deterrente nell’adozione del cloud computing.
 
Ci sono parecchi miti da sfatare circa la sicurezza del cloud computing. Andiamo con ordine.
 
 


“Con una soluzione on-premise sono più sicuro.”
Il più grande mito da sfatare è che usando il cloud computing i tuoi dati non saranno al sicuro come lo sarebbero con una soluzione on premise, sicura dietro il firewall aziendale.
Ma si tratta di un modo di pensare vecchio; il firewall dell’azienda non può più essere visto come una difesa su tutti i fronti.
 
“Nel mio lavoro non uso mai il cloud!”
Viviamo in un modo in cui il cosiddetto shadow IT è la norma. I file vengono condivisi, vengono usati nuovi strumenti per la collaborazione e la messaggistica, anche se inconsapevolmente, tutti usano il cloud.
 
“Il cloud non è sicuro. È più facile che sia violato.”
Non c’è prova a supporto che il cloud non sia al sicuro, la gran parte delle violazioni di sicurezza del 2015 sono successe perché i dati su server on premise sono stati rubati. Il controllo fisico dei dati non li rende più sicuri.
Se lo stesso livello di attenzione dedicato alle risorse interne viene applicato anche alla sicurezza del cloud, allora devi aspettarti lo stesso livello di sicurezza. Non si deve mai dimenticare che la CIA usa Amazon come cloud.
 
“Gli utilizzatori del cloud possono spiarsi l’un l’altro.”
Sebbene gli utilizzatori di un cloud pubblico condividano gli stessi processi, archivi e altre risorse e servizi, sono separati da tecnologie di virtualizzazione molto solide. Anche se alcune aree del cloud computin possono non essere completamente mature, le tecnologie disponibili, la virtualizzazione, l’isolamento e la partizione non possono dirsi difettose.
In caso di violazione è sempre più difficile che la vulnerabilità sia in queste tecnologie.
 
“Il dibattito sulla sicurezza del cloud è una cosa semplice.”
Questo è un altro grande mito da sfatare a proposito della sicurezza del cloud. Per determinare quanto possa essere sicura una soluzione di cloud, specialmente paragonata ad una soluzione non-cloud, dobbiamo prendere in considerazione molte variabili. Queste variabili dipendono dalla dimensione dell’organizzazione, dalla natura del business, dall’esperienza dello staff interno, dalla tolleranza del rischio, dal budget/turnover ecc.. E questo solo per cominciare.
 
Siccome i servizi pubblici di cloud continuano ad evolversi e maturare, continueremo a registrare sempre meno incidenti relativi alle tecnologie. Una previsione di Gartner Top 10 suggerisce che il 95% delle falle nella sicurezza del cloud, da qui al 2020, saranno dovute alle azioni dei clienti stessi. Questo evidenzia quello che già da tempo dicono gli esperti di sicurezza: non è la tecnologia a sbagliare. È l’implementazione, la manutenzione, il reporting e la risposta agli incidenti che devono essere migliorati.
 
I settori IT devono assumersi un ruolo chiave per come il cloud computing viene utilizzato, gestito e, più importante, reso sicuro. Con il ridursi del supporto ai tradizionali servizi in-house, è essenziale che le nuove offerte cloud ricevano la stessa quantità di supporto e gestione. I processi di gestione dei servizi IT devono ancora essere applicati. Invece di aver paura del peggio, i CIO devono essere le guide di questa evoluzione dell’informatica, migliorando il loro business attraverso decisioni equilibrate e attentamente considerate.
 
Le necessità di ogni potenziale cliente cloud sono diverse; come per il livello di competenza  tecnica richiesta dallo staff addetto alla sicurezza e all’IT incaricato di vigilare sulla sicurezza dei dati dell’azienda. Ecco perché le decisioni da dover prendere devono essere ben ponderate. La tecnologia è solo una parte della soluzione; inoltre, devi considerare la programmazione, l’implementazione e i controlli ed i monitoraggi per sfruttare ogni soluzione al massimo della sua potenzialità e beneficiare di conseguenza per il tuo lavoro.
 
Sia i provider di servizi cloud (CSP) che le imprese stanno siglando un mutuo accordo. Le imprese devono essere consapevoli di quanto viene fornito dai CSP, così come qual è il confine tra la responsabilità del CSP e quella del cliente stesso. Questo deve essere chiaramente documentato ed accettato. Le imprese hanno anche bisogno di prendersi tempo per capire come e dove sono archiviati i loro dati; sebbene sul cloud, sono comunque archiviati fisicamente da qualche parte. La maturità dei CSP e, in alcuni casi, anche la posizione dei quartier generali dei CSP sono fattori importanti. Le aziende possono chiedere quali controlli agli accessi e verifiche siano in essere, cosa accade se c’è una violazione, qual è il piano di recupero disastri e così via.
 
Infine, la cosa più importante da ricordare è che quelli sono i tuoi dati e tu sei responsabile per tenerli al sicuro. Quando si adotta la tecnologia cloud, bisogna capire la portata dei servizi disponibili, le necessità effettive del tuo business e, forse più importante, esattamente da cosa stai proteggendo i tuoi dati. Le tecniche di malware e di furto di dati cambiano ogni giorno, anche ogni ora. Per proteggere i tuoi dati hai bisogno di scegliere soluzioni avanzate che si possono adattare perfettamente a diverse esigenze e quindi dovrai conoscere e capire quale malware potrebbe infettare il tuo business.
 
Per avere un’idea delle tendenze di minacce, puoi ascoltare questo episodio del podcast di RadioAchab.
 
 
(Tratto da TotallyMSP) )
 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.