La facilità d’uso di un servizio online a la sua efficacia sono alla base di una rapida crescita nel consenso a tutti i livelli, dal singolo utente alla grande azienda. Questo si sta verificando tra l’altro con i cosiddetti “Personal Cloud”, ovvero i siti Web che permettono di condividere grossi file superando i limiti della posta elettronica. Le stesse caratteristiche però, portano spesso a trascurare i rischi legati alla modalità del servizio offerto, potenzialmente capaci, soprattutto quando si parla di utenza business, di mettere a rischio la sicurezza di alcuni dati sensibili dell’azienda, o addirittura dell’intero sistema informativo.
Per aiutare a evitare di incorrere in spiacevoli imprevisti, Adam Gordon, autore della Official (ISC)2 Guide to the CISSP CBK, uno dei testi di riferimento per i professionisti dell’Information Security, suggerisce agli IT Administrator intenzionati a utilizzare servizi di “cloud file sharing” quattro elementi principali da tenere in considerazione, indicando come li affronta ciascuno dei due provider più noti, Box e Dropbox.
Prima di tutto, servono garanzie per la presenza online del servizio. La natura stessa del cloud, per un responsabile IT, implica in questo caso di non poter controllare direttamente fattori quali disponibilità e accessibilità. Il rischio è di caricare file e trovarsi a non potervi più accedere per un certo tempo. Altrettanto importante è poter sapere chi e quando può potenzialmente essere in grado di vedere e intervenire sui documenti oltre ai legittimi proprietari.
Al riguardo, Box appare più rigorosa, con un SLA (Service Level Agreement) per i clienti aziendali, del 99,9% di disponibilità, garantito grazie a una singola infrastruttura distribuita su quattro data center, utilizzata per tutti i livelli di servizio proposti. A garanzia della sua bontà, nel caso di mancato rispetto, il cliente ottiene un rimborso parziale. Dropbox invece si limita a garantire la disponibilità, senza tuttavia un’indicazione ufficiale. Gli SLA infatti, sono legati al singolo contratto. L’infrastruttura si appoggia comunque su Amazon S3, abbinato a un mirroring cifrato in altri data center, tutti negli USA.
Il secondo punto riguarda la possibilità di accesso ai dati. Mentre all’interno dei confini aziendali la possibilità di controllo è pressochè totale, in questo caso la situazione è diversa. Box infatti, permette di inserire in un account aziendale a contratto utenti registrati singolarmente con il servizio gratuito. Il problema è che questi spesso sono collaboratori esterni, e questo estende la visibilità dei documenti ad account su cui si ha solo un controllo parziale. Preso atto del problema, però, il provider ha provveduto a rafforzare gli strumenti di amministrazione per assicurare al responsabile IT il pieno controllo sull’accesso ai file oltre che sugli utenti.
Dal canto suo, anche Dropbox ha affrontato il problema, combinando autenticazione a due livelli e strumenti per il controllo degli accessi impostati direttamente dall’utente e basati sui principali standard del settore, per far sì che possano essere integrati con gli strumenti di Identity e Access Management interni.
Più in generale, la sicurezza presenta diversi aspetti, tutti da tenere in stretta considerazione, non solo per l’accesso ma anche per la fase di trasferimento. Al riguardo Box utilizza la codifica SSL con una cifratura AES a 256 bit. L’azienda è certificata ISO 27001 a dimostrazione di essere conforme a standard a livello aziendale. Dropbox invece, protegge la fase di trasferimento attraverso il supporto TLS dalla versione 1.0 fino alla 1.2 e SSL v3. Di fatto, questo fornisce non solo un “tunnel protetto” con cifratura 256 bit AES, ma aggiunge l’accorgimento di spezzare i file in elementi resi anonimi con l’uso di sistemi hash. Ogni blocco è cifrato in modo autonomo e le chiavi di cifratura sono gestite separatamente dai blocchi stessi. In ogni caso, almeno una volta all’anno, le procedure di sicurezza sono sottoposte a una verifica.
Un ultimo fattore di valutazione riguarda il tipo di file che è possibile condividere. La natura cloud del servizio di file sharing tende infatti a far concentrare i controlli sui documenti in entrata, trascurando i movimenti interni o in uscita, dove si può concentrare l’azione di eventuali hacker. Spesso, soprattutto in ambito marketing, la tendenza a condividere il più possibile alcuni documenti porta a non porre restrizioni sul tipo di file e sottovalutare contenuti che possono rivelarsi estremamente rischiosi. In pratica non sarebbe difficile caricare malware e simili, con una concreta possibilità che siano scaricati da un utente all’interno del sistema aziendale.
Box al riguardo si sente sicura dei propri sistemi di controllo atti a evitare la presenza di oggetti indesiderati che possano finire per vagare all’interno di un account aziendale. È vero, come spiega l’azienda, che non ci sono limitazioni sulle tipologie, ma l’ambiente è tale per cui script e file eseguibili non possono essere avviati nel proprio raggio d’azione. Resta tuttavia la possibilità di eseguire scansioni antivirus sugli oggetti condivisi, con limitazioni anche sulle operazioni di conversione.
Maggiore libertà vige invece all’interno di Dropbox, per la quale vale l’impegno dell’utente a un utilizzo legato ai termini di servizio. Il controllo costante atto a prevenire abusi o violazioni, fa sì che finora sia stato sempre possibile intervenire per tempo non appena si presenti la necessità.
