Compliance e security nella scelta della piattaforma private cloud: ecco come orientarsi

pittogramma Zerouno

Sponsored Story

Compliance e security nella scelta della piattaforma private cloud: ecco come orientarsi

Le proposte per i private cloud non sono tutte uguali. Per cui, prima di spostare dati e applicazioni è bene essere certi di intraprendere il percorso migliore per la propria azienda, perché tornare indietro è difficile e implica costi elevati

Pubblicato il 19 Dic 2022

di Redazione

Nonostante l’incerta situazione economica, il mercato del cloud mantiene un trend di crescita costante. Secondo i dati dell’Osservatorio Cloud Transformation del Politecnico di Milano, le previsioni per il 2022 indicano un +18%, a quota 4,56 miliardi di euro. Le organizzazioni che hanno deciso di portare dati e applicazioni nella “nuvola” orchestrando servizi public cloud in un’ottica multi-cloud avranno generato a fine 2022 un giro d’affari di 2.950 milioni di euro (+22% rispetto al 2021). Il virtual & hosted private cloud registrerà invece un aumento del + 15%, con un tasso di crescita più marcato rispetto agli anni precedenti, arrivando a 993 milioni di euro.

Un sempre maggiore ricorso al private cloud, che solitamente è usato per le attività più critiche, sia in termini di applicazioni sia di data governance, rende automaticamente compliance e security due elementi fondamentali. A fronte di ciò, e considerato che le offerte dei fornitori possono differire molto per costi e prestazioni, quali aspetti è necessario considerare per essere sicuri di scegliere il provider e il servizio migliori?

Meglio in cloud, ma con attenzione

Il cloud in molti casi non è più un’opzione, ma una scelta altamente consigliata se si vuole rimanere al passo con le evoluzioni tecnologiche. Diversi dei più diffusi software aziendali, come per esempio CRM o ERP, fino a qualche tempo fa erano sinonimo di soluzioni da installare on-premise e gestire in locale. Ora, invece, sono tutti disponibili in cloud, di fatto inducendo gli utenti alla migrazione. Di solito, l’edizione on-premises rimane e continua a essere supportata, ma è sul cloud che arriveranno prima le nuove funzioni e ci saranno aggiornamenti più frequenti. Sempre grazie al cloud, inoltre, l’utente non si dovrà più preoccupare di gestire l’infrastruttura perché lo faranno i vendor.

Ora ovviamente nessuno mette in dubbio l’efficacia di questi sistemi di sicurezza, tuttavia, come fa notare Michele Onorato, Chief Information Security Officer di Westpole Italia, “quando ci si affida a un cloud provider non si ha più sotto controllo la gestione dell’infrastruttura IT, come invece succede on-premises. È pur vero che nel private cloud la gestione della security è per la gran parte in capo all’utente e il provider ha solo una responsabilità limitata, ma lo stesso non si ha la certezza di come il provider stesso agisca nei confronti della parte di security che gli compete. Tra l’altro, alcuni recenti incidenti di sicurezza informatica piuttosto eclatanti non sono riconducibili a negligenze interne, ma dei fornitori. Il cloud provider è a tutti gli effetti un fornitore e, quindi, deve essere gestito come tale nella catena della security”.

Come scegliere un provider “sicuro”

Allo stesso modo, anche gli schemi di security offerti dai provider non sono tutti uguali. Siccome non esiste una regola precisa in relazione a come comportarsi nei confronti della sicurezza, è infatti possibile scegliere i sistemi di protezione che si ritengono più opportuni. “Tuttavia – evidenzia Onorato – un provider può decidere di mostrare di avere seguito le procedure corrette decidendo di acquisire delle certificazioni. In altre parole, può dimostrare che una struttura terza abbia verificato che i suoi sistemi di sicurezza rispettino canoni ritenuti essenziali. Le certificazioni più usate in ambito security sono la ISO 27001 e la CSA Star”.

La CSA Star è una certificazione definita dalla Cloud Security Alliance e, come si intuisce dal nome dell’associazione, è espressamente indirizzata al cloud. Prevede una serie di controlli o verifiche specifici per differenti livelli di protezione, che assicurano il livello di protezione di un cloud provider. iventa così semplice stabilire se e come un fornitore del servizio cloud si è cautelato nei confronti del cybercrime.

“Scelto il provider – precisa Onorato – va comunque verificato il contratto che si dovrebbe stipulare per stabilire se le clausole di sicurezza riportate sono soddisfacenti per le proprie esigenze. Potrebbe, infatti, essere suggerito un livello di sicurezza massimo per tutte le attività, mentre invece potrebbe essere opportuno differenziarlo in funzione del tipo di applicazione. Un discorso simile potrebbe valere per i Service Level Agreement”.

Se possibile, sarebbe bene riservarsi nel contratto la possibilità di fare un’attività di audit per verificare che il provider svolga realmente determinate attività in ambito security.

Un importante criterio di scelta: l’accesso al cloud

Dando per scontato che siano previsti accessi totalmente separati, oggi un aspetto fondamentale è la possibilità di avere un accesso sicuro ovunque gli utenti si trovino. “Bisogna sincerarsi che chi accede all’infrastruttura in cloud sia chi effettivamente dice di essere” sottolinea Onorato. “Il provider deve quindi poter assicurare la multifactor authentication per consentire, al di là di username e password, di poter far eseguire un’altra attività su un dispositivo di proprietà, come lo smartphone, e quindi avere una conferma dell’identità dell’utente”.

In termini di sicurezza di accessi, non va poi sottovalutato l’aspetto della gestione dell’infrastruttura. “Anche per il personale del provider sarebbe bene stabilire dei criteri di accesso” sostiene Onorato. “Bisognerebbe ragionare in termini di segregazione, in modo tale che, per esempio, gli utenti collegati al network possano accedere solo alle risorse a loro dedicate e i sistemisti esclusivamente alla parte che compete loro”.

Va poi da sé, infine, che chi fornisce il servizio di private cloud dovrebbe mantenere i sistemi sempre aggiornati. “Oggi la maggior parte degli incidenti di security avviene perché la protezione non è sufficientemente efficace” aggiunge Onorato. “Spesso a causa della mancata installazione di patch o per un errore umano. In tal senso, sarebbe bene sincerarsi che le persone che lavorano sul private cloud siano formate dal punto di vista della security awareness. Quindi, sappiano esattamente quali sono i rischi a cui si va incontro compiendo determinate azioni o utilizzando certi device per accedere al private cloud”.

La personalizzazione che fa la differenza

Come abbiamo già detto, può non essere necessario avere per tutti i workload sul private cloud lo stesso livello di sicurezza e il service provider dovrebbe consentire di scegliere tra differenti opzioni. Più in generale, “un importante valore aggiunto fornito dal provider è la personalizzazione dei servizi disponibili” conclude Onorato. “Chi decide di puntare su un private cloud dovrebbe avere ben chiari gli obiettivi di business e con quali applicazioni e dati li si vuole raggiungere. Questo implica anche la certezza che il provider consenta la compliance con le normative, come per esempio il GDPR. Oggi le infrastrutture e le risorse le hanno mediamente tutti i cloud provider, la differenza sta nei servizi che sono in grado di fornire. Scegliere un provider che propone anche servizi gestiti personalizzati è sicuramente un’arma vincente”.

Valuta questo articolo

La tua opinione è importante per noi!

R

Redazione

Nel corso degli anni ZeroUno ha esteso la sua originaria focalizzazione editoriale, sviluppata attraverso la rivista storica, in un più ampio sistema di comunicazione oggi strutturato in un portale, www.zerounoweb.it, una linea di incontri con gli utenti e numerose altre iniziative orientate a creare un proficuo matching tra domanda e offerta.

Argomenti trattati

Aziende

Westpole

Approfondimenti

M
mobile

Articolo 1 di 5