Benefici e rischi del cloud. Soluzioni offerte dai vendor e dai provider. Ruolo delle istituzioni. Se ne è parlato nel corso del recente Cloud Security Summit, giornata promossa a Milano in collaborazione da Assintel (Associazione Nazionale Imprese ICT), Clusit (Associazione per la Sicurezza Informatica in Italia), e CSA Italy (Cloud Security Alliance Chapter).
Della sessione plenaria della mattinata riportiamo una tavola rotonda interessante dedicata agli aspetti normativi, ai provvedimenti e alle best practices che caratterizzano scenari attuali e dei prossimi mesi.
Aziende, consumatori, provider e politica
Nell’introdurre questo panel, Gabriele Faggioli, presidente Clusit, ha ricordato che “nei confronti dell’adozione del cloud vi sono fattori sia di freno che di sviluppo. Continuano a esserci, come negli anni passati, da parte di molte aziende, timori a fare uscire i dati dai loro ambienti on-premise. Allo stesso tempo, aumenta la consapevolezza che il cloud sia una cosa seria, che i service provider beneficiano di economie di scala inaccessibili a moltre imprese, e che l’ambiente It di un cloud provider è certamente più sicuro di quello di una Pmi”. Faggioli ha rimarcato anche le attenzioni che al cloud sono prestate a livello di istituzioni europee ed anche italiane, come dimostrano frequenti incontri fra Clusit, CSA, Agid (Agenzia per l’Italia Digitale) e governo nazionale.
“Da parte delle aziende – ha affermato Daniele Catteddu, Chief Technology Officer di CSA – si assiste a una crescita di un approccio ibrido al cloud, come testimonia anche la decisione di IBM di acquisire Red Hat. Dal mio punto di vista sarebbe meglio se le aziende optassero per un modello completamente basato sul cloud pubblico, perché faciliterebbero il lavoro degli sviluppatori software: il public cloud si sta infatti rivelando l’ambiente migliore dove fare girare codice, mentre oggi è ancora visto soprattutto come un’alternativa di backend, dove reperire capacità server e storage che offrono maggiori scalabilità e resilienza rispetto all’It tradizionale”. Questo trend, che porta comunque, verso l’adozione di un’infrastruttura distribuita, introduce, secondo Cattettu, il problema di non sapere dove si trovano le risorse IT utilizzate da un’azienda che utilizza il cloud. Una questione cui si somma “la difficoltà di accedere alle agende digitali dei singoli governi” e quindi, aggiungiamo noi, la perplessità circa la sicurezza e il rispetto della privacy che possono essere o meno imposte dalle legislazioni nazionali. In questo contesto, quindi, può essere visto con favore il fatto che, sottolinea sempre il CTO di CSA, “il GDPR (General Data Protection Regulation, adottato dalla UE, ndr) abbia ricondotto, grazie a una direttiva, 28 regolamentazioni nazionali sulle compliance e la governance della sicurezza a un’unica normativa comune”.
L’era della security by default
Oltre alla standardizzazione delle linee guida, un altro aspetto positivo del GDPR è l’avere introdotto il concetto di security by design delle applicazioni e delle infrastrutture. E le aziende, stando a quanto affermato anche dai panelist del mondo dei provider e dei vendor, stanno adeguandosi a questa filosofia. Per i primi decenni dell’informatizzazione delle aziende, “la security – ha confermato Stefano Volpi, Country Manager di Symantec in Italia – era un aspetto che veniva implementato successivamente alla creazione di un sistema informativo”. Ed era quasi esclusivamente un deplyment di soluzioni a protezione della rete. “Oggi – ha detto Volpi – dalla network security si è passati alla software protection e infine alla data protection”.
In questo processo di evoluzione verso quella che viene definita anche security by default, gli utenti stanno realizzando due cose: la prima è che è difficilissimo gestire manualmente la security di ogni nuova applicazione e risorsa It; la seconda è che i provider hanno migliori possibilità di offrire questo processo come servizio. “Oracle – ha esemplificato Luca Martelli, Senior Director, Identity & Security Solutions EMEA del vendor, per quanto concerne l’offering di cybersecurity – è sempre più impegnata a fornire strumenti di automazione e formazione”, facendo probabilmente riferimento alla recente offerta di Autonomous DB che integra tutta una serie di feature automatiche per la protezione e il self patching.
A conferma del riconoscimento del ruolo che i cloud service provider possono avere nel garantire security by design, Andrea Boggio, Business Development Manager di Fastweb, ha dichiarato che “le aziende ci stanno richiedendo misure di cybersecurity sempre più specifiche e che rimangono di default”, mentre Claudio Squinzi, Country Sales Manager di Cyberark, ha aggiunto che “aumentano i fornitori di SaaS (Software-as-a-Service) che ci richiedono soluzioni per proteggere le applicazioni create dagli sviluppatori e i dati degli utenti da accessi non autorizzati da parte di chi ha i privilegi di amministrazione”.
Carlo Mauceli, Chief Technology Officer di Microsoft Italia, ha sottolineato che “il 90% degli attacchi colpisce i clienti finali e solo il 10% i service provider”. La consapevolezza, da parte degli end user, che i servizi erogati via cloud possono garantire una sicurezza by default maggiore delle soluzioni e dei server on-premise, dovrebbe guidare verso un maggiore utilizzo dei servizi cloud quali, per restare in Microsoft, il public cloud Azure e la suite Office 365.
Verso la fine della tavola rotonda, Catteddu (CSA) ha comunque ricordato che “la responsabilità dei dati resta sempre in capo agli utenti e non ai service provider”. Il presidente di CSA, Alberto Manfredi, ha concluso auspicando che le autorità pubbliche svolgano un ruolo proattivo e non solo reattivo nei confronti della cybersecurity, “non lasciando soli i consumatori e le pubbliche amministrazioni, ma aiutandoli a formarsi per affrontare le problematiche di sicurezza e la scelta dei provider”.
