Il tema della cloud security è contemporaneamente confusionario e centrale nelle moderne strategie aziendali. Da una parte, infatti, le tante notizie di intrusione nel cloud e di data breach possono creare un eccesso di allarme e potenzialmente ostacolare le opportunità di business a causa di un’adozione più lenta del necessario. Dall’altra, sottostimare i rischi del cloud è sbagliato.
La buona notizia è che governare la cloud security è possibile, ma bisogna configurare delle policy aziendali dedicate e una strategia coerente che predisponga un modello di responsabilità condivisa.
La cloud security parte dalla consapevolezza che oggi fare a meno del cloud non è più pensabile: serve alle imprese per accelerare la trasformazione digitale e muoversi in maniera competitiva in uno scenario – commerciale e lavorativo – sempre più sfidante. Per ottenere i risultati auspicati, i CIO di nuova generazione devono condividere con le altre figure decisionali le priorità del cloud, le politiche di sicurezza del cloud da adottare ed educare il personale a una maggiore sensibilità sugli accessi e la configurazione.
Le previsioni di Gartner sono chiare: entro il 2025 il 90% delle organizzazioni che non riuscirà a controllare le proprie istanze nel cloud pubblico rischierà di rendere pubblici dei dati sensibili. Allo stesso tempo, il 99% dei problemi della cloud security sarà responsabilità delle aziende e non del fornitore di servizi.
Significa che i CIO devono implementare (e soprattutto fare rispettare) delle politiche dedicate legate all’accettazione del rischio e alla responsabilità dei ruoli per una maggiore sicurezza del cloud.
Implementare correttamente le politiche di cloud security significa, innanzitutto, configurare precisamente gli accessi alle varie risorse.
In particolare, le aziende devono bilanciare la produttività con la sicurezza: devono, cioè, comprendere che puntare sulla prima non deve compromettere la seconda. In altre parole, è fondamentale che i vari ruoli degli utenti prevedano l’accesso alla quantità minima di risorse necessaria per svolgere adeguatamente i compiti previsti.
In un approccio zero-trust, ogni accesso dev’essere configurato con un’autenticazione a due fattori e si devono effettuare controlli regolari e automatizzati. L’accesso alle risorse, inoltre, dev’essere continuamente monitorato affinché le persone in azienda non possano, anche accidentalmente, aprire una finestra sul cloud che possa essere sfruttata da un attaccante esterno. Implementare una soluzione di Identity and Access Management può essere di grande aiuto per consolidare una strategia di sicurezza del cloud efficace.
Il cloud mette a disposizione le risorse, ma talvolta il problema nella cloud security risiede a monte, ossia nelle operazioni che vengono svolte direttamente dall’azienda, per esempio lo sviluppo di nuovi applicativi o l’integrazione di servizi terzi. Anche nel cloud i dati di un’azienda restano una responsabilità dell’organizzazione e, quindi, è quest’ultima che deve proteggerli.
Evolvere la cloud security significa perciò rispettare le best practice di uno sviluppo responsabile e sicuro con un approccio olistico al processo, al mantenimento e alla gestione degli strumenti di sviluppo. Per ottenere un risultato eccellente serve, inoltre, che il dato sia protetto dalla crittografia e che venga predisposta un’adeguata governance.
Per assicurare che gli accessi siano sotto controllo e che non vi siano vulnerabilità, l’azienda deve provvedere a effettuare regolarmente delle verifiche se non dei veri e propri penetration test volti a comprovare l’efficacia degli sviluppi di sicurezza del nostro cloud. Le verifiche possono essere manuali nei sistemi meno complessi, devono introdurre script automatici man mano che il cloud viene scalato e, nel caso di sistemi a complessità elevata, è meglio configurare un monitoraggio in tempo reale per assicurarsi che non ci siano errori di configurazione che possano creare delle vulnerabilità.
Il cloud è una catena: tutte le figure coinvolte sono un anello e sono responsabili di ciò che accade. Perciò, è importante comprendere quali componenti dell’infrastruttura cloud (come la sicurezza fisica o i controlli degli applicativi) sono di competenza del vendor o del fornitore del servizio e quali invece sono responsabilità dell’azienda.
Un modello di responsabilità condiviso è essenziale per assicurarsi che l’intera filiera sia allineata alle best practice e, soprattutto, per evitare disallineamenti e inefficienze operative.