In questo momento storico i processi aziendali e le regole del business devono essere estremamente “agile” e “adaptive”, soprattutto a fronte del processo di digitalizzazione in atto che implica, da parte delle organizzazioni, l’attuazione di un’efficace trasformazione digitale che si rivela come un’ulteriore leva per far fronte alle sfide contingenti. L’adozione di soluzioni cloud comporta un cambio di paradigma necessario per fronteggiare le sfide del business: le organizzazioni commerciali, governative, sanitarie e del retail, per continuare a essere competitive, devono sempre più semplificare i processi, aumentare l’efficienza e ridurre i costi garantendo, al contempo, la sicurezza dei clienti, la qualità dei prodotti e l’integrità dei dati. Durante la crisi sanitaria del Covid-19, le aziende e le istituzioni sanitarie hanno fatto affidamento sul cloud sia per gestire al meglio la modalità di remote working adottata sia per fronteggiare i picchi di connettività. Tali esigenze, combinate con i vantaggi della tecnologia cloud – tra cui la rapida scalabilità on-demand – stanno spingendo un numero crescente di organizzazioni a prenderne in considerazione l’adozione: bisogno però considerare alcuni rischi.
Il trend di adozione del cloud non sembra, quindi, arrestarsi e la domanda sta raggiungendo livelli senza precedenti. Unitamente alla cyber security, il cloud è diventato una delle principali priorità post-crisi nell’agenda dei Chief Information Officer (CIO); inoltre, secondo Gartner – società di consulenza strategica americana – l’adozione di servizi di videoconferenza cloud crescerà in modo significativo dato che la flessibilità di questa tecnologia consente ai dipendenti di connettersi ai loro ambienti di lavoro rapidamente e da remoto.
Le aziende che utilizzavano già il cloud per una parte limitata della loro attività, prima della pandemia, durante il lockdown hanno, come è ovvio, proseguito ulteriormente in questa direzione e, essendo ora maggiormente “mature”, hanno avviato un passaggio diffuso dei propri dati e del workload al cloud. La flessibilità del cloud e il prezzo “as-a-service” consentono di adattare rapidamente la capacità alla domanda, sia per infrastruttura (IaaS) sia per software (SaaS) o per applicazioni (PaaS). Permettendo alle varie organizzazioni di espandere le proprie capacità ed estendere, in tempi ridotti, il lavoro remoto fino al 90% dei dipendenti proprio grazie alla flessibilità di questa tecnologia.
La protezione dei dati, soluzioni spesso obsolete
Secondo l’ultimo sondaggio di Veeam Software dal titolo “Data protection trends 2020” permangono difficoltà per le aziende nell’attuare il processo di trasformazione digitale, dovute principalmente a soluzioni obsolete per la protezione dei dati. Per esempio, in questo periodo abbiamo preso consapevolezza della necessità di evolverci e lavorare con modalità nuove, a fronte del cambio della modalità di accesso a sistemi e applicazioni causato dallo smart working che, inevitabilmente, ci espone a nuovi rischi dal momento che ha ampliato la superficie d’attacco da parte degli hacker.
Sono state intervistate circa 1.500 aziende (di cui 262 Italiane) per comprendere: come viene approcciata la protezione e la gestione dei dati; quale sia il livello di preparazione delle aziende nell’affrontare le sfide IT che quotidianamente si presentano; quali capacità di reazione sono necessarie per gestire nuove esigenze o interruzioni di servizio.
Il report ha confermato, inoltre, come sia importante conoscere l’evoluzione della tecnologia. I big data resi disponibili attraverso le infrastrutture IT sono diventati strategici e indispensabili per il business. La protezione dei dati deve raggiungere un livello di “intelligenza” superiore per supportare le esigenze di trasformazione delle aziende e l’adozione di ambienti multi-cloud ibridi. Tuttavia, per quanto riguarda la loro protezione, il 40% delle aziende si affida ancora a sistemi legacy; il 95% delle aziende è soggetta a interruzioni dei sistemi della durata media pari a quasi due ore (i.e. 117 minuti), che si traducono in perdite economiche. Il downtime di un’ora di un’applicazione prioritaria costa alle aziende mediamente ca. 68 dollari. Non meno costoso risulta il downtime di un’applicazione a priorità normale, i.e. 62 dollari circa: di fatto applicazioni di alta priorità e normale priorità e costi di impatto ci confermano che tutti i dati sono, in realtà, “strategici” e, di conseguenza, i tempi di inattività sono sempre meno tollerabili.
Le aziende intervistate, per proteggere efficacemente i propri dati, utilizzano varie funzionalità che si basano sul cloud, i.e. il disaster recovery attraverso servizi cloud (50%), spostamento di carichi di lavoro on-premise su cloud (50%) oppure possibilità di spostare i workload da un cloud a un altro (48%). Inoltre, secondo la metà delle aziende intervistate, il cloud è destinato a ricoprire un ruolo sempre più determinante nelle strategie di protezione dei dati dal momento che, per riuscire ad attuare un progetto di data protection all’avanguardia, le organizzazioni hanno bisogno di una soluzione completa, in grado di supportare sia la gestione dei dati in cloud sia in ambienti fisici e virtuali, per qualunque applicazione o dato e in qualsiasi ambiente cloud.
Cloud, in Italia la migrazione è in atto
Durante la crisi della pandemia, molte aziende italiane hanno avuto la possibilità di osservare l’efficienza, la facilità di implementazione e la scalabilità del cloud in termini di virtualizzazione del desktop e di crescita dei servizi multi-cloud. Inoltre, le aziende che sono passate a sistemi temporanei – implementati durante la crisi pandemica – dovranno necessariamente passare a soluzioni più permanenti e strutturate. Ciò comporterà una migrazione completa della loro infrastruttura al cloud, la virtualizzazione di tutti i desktop e servizi di sicurezza adattati a ciascuna attività.
In particolare, il report rivela che, attualmente, in Italia il 38% delle aziende intervistate è dotato di server fisici e il 32% utilizza il cloud host. In futuro, i server fisici saranno utilizzati da non più del 29%, mentre l’impiego dei cloud host salirà al 41%. Questa tendenza è ulteriormente confermata dalle stesse aziende intervistate che pensano, già da quest’anno, di accelerare il processo di adozione delle soluzioni cloud per prevenire gli attacchi cyber e colmare – in parte – la mancanza delle competenze digitali e degli strumenti tecnologici oltre a adeguarsi alle esigenze contingenti del business.
Attualmente il 45% delle aziende italiane intervistate non è in grado di garantire sempre la disponibilità dei dati agli utenti; inoltre il 42% riscontra un divario tra la velocità di accesso effettiva e quella necessaria per garantire un’organizzazione “always-on”. In Italia un downtime dura mediamente 52 minuti, tradotto in un costo/ora di 90mila euro e in un costo/anno di 17 milioni di euro. Inoltre, per il 49% delle aziende intervistate, risulta intollerabile un’interruzione riferita ad un’applicazione prioritaria superiore a 60 minuti essendo esse ben consapevoli dell’impatto delle indisponibilità dei dati e delle applicazioni informatiche sul business in termini di: fiducia dei clienti, danni di immagine, perdita di fiducia dei dipendenti, impatti normativi e di compliance, rischio revoca licenze e contratti.
Cloud, i rischi da valutare prima dell’implementazione
Le aziende dovrebbero valutare i seguenti rischi al momento dell’implementazione del cloud:
- Garanzia di governance dei dati: verificare se il cloud provider è in grado di fornire l’esistenza di firewall perimetrali e controllo accessi, servizi di crittografia e strumenti di monitoraggio per proteggere i dati nei sistemi considerando il fatto che è primario per l’azienda comprendere le proprie esigenze in termini di misure di sicurezza e implementarle. Sarà altresì importante valutare le implicazioni di conformità al GDPR in termini di luogo dove risiedono i dati, (che devono risiedere all’Interno della Unione Europea) e, se necessario, accertarsi che questo aspetto sia ben esplicitato e che il titolare abbia dato il proprio assenso.
Inoltre, per quanto riguarda il ciclo di conservazione dei dati, considerando che essi si trovano solitamente su diverse unità di archiviazione, per motivi di ridondanza, sarà necessario verificare che siano stati eliminati in modo corretto, dal momento che la responsabilità è in ultima analisi del titolare.
- Complessità di gestione e mancanza di formazione adeguata: la migrazione da un ambiente on-premise a un cloud comporta un livello di complessità operativa maggiore per la funzione IT e, in alcuni casi, lo staff IT potrebbe non avere una adeguata esperienza nella gestione e nell’assistenza di servizi cloud oltre a non avere una formazione specifica e adeguata a gestire la sicurezza di queste implementazioni. È dunque necessario prevedere una efficace policy operativa.
- Mancanza di connettività e disponibilità dei dati: il servizio virtuale, in assenza di adeguate garanzie di qualità della connettività di rete, potrebbe essere non all’altezza delle prestazioni richieste, in presenza di elevati picchi di traffico, oppure risultare indisponibile a causa, per esempio, di guasti e impedire l’accessibilità temporanea ai dati in esso conservati.
- Errori di configurazione: una mancata comprensione tecnica può causare errori od omissioni. A ciò si può ovviare pianificando la sicurezza prima del deployment e richiedere al provider l’assistenza in fase di progettazione e deployment. Inoltre, è consigliabile effettuare periodicamente audit e test per verificare l’esistenza di possibili gap di sicurezza e il buon funzionamento del cloud.
- Multi-Tenant: i cloud provider offrono diverse tipologie di architetture, i.e. cloud privati, cloud ibridi o multi-cloud in modo tale da poter avere in-host più client, il tutto in una singola architettura cloud fisica, oppure utilizzando data center situati in diversi punti. Solitamente, i provider cercano di confinare ogni tenant nella propria enclave affinché l’utilizzo di risorse comuni non danneggi gli altri, dato che si tratta di strutture condivise e basate sul concetto di risorse noleggiate a un’utenza multipla e mutevole. I provider, infatti, custodiscono dati di singoli e di organizzazioni diverse che potrebbero avere interessi ed esigenze differenti o persino obiettivi contrastanti e in concorrenza. Risulta praticamente impossibile tracciare un netto confine tra aspetti tecnici e di business che, di fatto, si influenzano reciprocamente e, pertanto, il “fallimento” di uno di essi può causare un effetto “domino” su gli altri. I provider di servizi cloud forniscono, per questo motivo, tutti i controlli di sicurezza logici e fisici che sono necessari al fine di garantire una enclave sicura per ogni tenant oltre a domini multipli per mitigare questi rischi. È comunque consigliabile effettuare una due diligence per misurare l’impatto potenziale di un ambiente multi-tenant sulla propria organizzazione e verificare le strategie di mitigazione del rischio offerte dal provider.
- Cryptojacking: si tratta di una minaccia sempre più frequente, che sfrutta le risorse di elaborazione, erode i confini di sicurezza del cloud e permette agli hacker di inserire codici maligni che aprono le porte ad altri attacchi similari e potenzialmente dannosi. Configurazioni errate e social engineering sono i due metodi utilizzati dai cyber criminali per trasferire il codice per il cryptojacking.
Cloud, come affrontare i rischi
Gli scenari descritti evidenziano come, per rendere possibile la trasformazione digitale, sia necessaria una implementazione dei principi di risk management e al contempo una modernizzazione della protezione dei dati e implementazione dei principi di business continuity, dal momento che non si tratta di effettuare il backup e il ripristino dei dati, ma di garantire la resilienza dell’intera organizzazione. Vediamo come fronteggiare i rischi di adozione di soluzioni cloud.
Il cloud sopperisce alle esigenze di business continuity in termini di disponibilità di applicazioni critiche e meno critiche, grazie a data center, servizi di back-up e di disaster recovery. Inoltre, è sempre più frequente che i servizi di back-up e di disaster recovery diventino le “leve” principali che spingono le organizzazioni a passare al cloud. Numerosi cloud service provider offrono sofisticati framework per la pianificazione del piano di disaster recovery in base ai modelli di business continuity aziendali e della gestione delle criticità sempre in un’ottica di resilienza organizzativa. Inoltre, con il cloud si può accedere a diversi servizi, tra cui IaaS (Infrastructure as a Service), PaaS (Platform as a Service) e SaaS (Software as a Service che comportano vantaggi quali: riduzione della spesa per IT e infrastruttura IT; rapida implementazione; prezzi flessibili ed elevata scalabilità; esecuzione del back-up dei dati e delle informazioni aziendali, dei sistemi operativi e delle applicazioni in tempi maggiormente rapidi; download e upload di numerose funzionalità di elaborazione che garantiscono tempi di ripristino ridotti e continuità aziendale.
I cloud di ultima generazione, oltre a permettere il ripristino e il recupero di dati, offrono anche la possibilità di replicare i piani di disaster recovery e business continuity, garantendo una maggiore resilienza organizzativa e una riduzione dei costi di gestione. Le tradizionali soluzioni, infatti, risultano costose e implicano l’acquisto e il supporto di un hardware e di uno storage adeguato a contenere l’enorme mole dei dati aziendali; pertanto, il cloud può convertirsi in una scelta conveniente eliminando i costi di data center remoti alquanto costosi. Le organizzazioni possono anche scegliere di personalizzare il proprio piano di business continuity poiché è offerta la possibilità di abbonarsi ai servizi a loro necessari e, successivamente, modificare i loro piani di abbonamento nel tempo e a seconda delle proprie esigenze. Tuttavia, per una corretta implementazione dei cloud, in grado di garantire la continuità aziendale, è opportuno verificare alcuni aspetti, quali:
- Messa a disposizione di budget adeguati agli investimenti tecnologici necessari.
- Verifica dell’affidabilità del cloud provider in termini di solidità dell’infrastruttura utilizzata e relativa sicurezza.
- Creazione di una cultura digitale che permetta alle persone di evolversi insieme all’azienda, sopperendo in questo modo alla mancanza di competenze e di personale per implementazione corretta delle tecnologie.
- Miglioramento delle competenze digitali, per far sì che i dipendenti possano attingere alle informazioni dai dati a disposizione e utilizzare le nuove tecnologie man mano che vengono implementate.
- Verifica dei piani di continuità del cloud provider e inserimento delle clausole di continuità nei contratti, oltre a richiedere la conferma dell’osservanza anche da parte dei sub-fornitori.
- Verifica dei servizi di connettività e l’alimentazione nei data center in caso di disastro/disruption.
- Verifica della gestione i guasti hardware e come inserire contrattualmente la loro modalità di risoluzione.
- Verifica della modalità di replica dei dati e dove vengono custoditi ai fini del GDPR.
- Verifica delle specifiche del data center utilizzato dal cloud provider.
- Verifica dei casi di tempi di inattività verificatisi negli ultimi 18 mesi.
- Verifica della frequenza di svolgimento dei test di ripristino, di emergenza e diponibilità dell’ultimo rapporto.
Conclusioni
Considerando il trend in ascesa dell’utilizzo dei servizi cloud, è sempre più necessario considerarne i rischi; la migrazione dei dati da sistemi locali (controllati dalle aziende) ai sistemi remoti del cloud provider presuppone necessariamente misure di sicurezza anche da parte delle organizzazioni che non possono esimersi dalle responsabilità che vengono loro attribuite, in particolare, dalla disciplina in materia di protezione dei dati personali. Pertanto, è necessario monitorare attentamente i servizi offerti dal cloud provider al fine di individuarne i potenziali rischi e poter adottare efficaci e specifiche misure di prevenzione. Inoltre, è quanto mai necessario, prima di adottare un sistema cloud di valutarne attentamente la ratio rischi/benefici e cercare di minimizzare i primi attraverso un’attenta verifica dell’affidabilità del fornitore di servizi al quale ci si intende affidare.