Metodologie

La sicurezza “del e nel cloud”: idee e consigli per le aziende

Le innovazioni di business abilitate dal cloud. I rischi, le misure di sicurezza e le compliance che le aziende devono considerare prima e durante questo percorso. Sono stati tra i temi affrontati al “Security Summit” organizzato dal Clusit a Milano. Ecco alcuni spunti di riflessione

Pubblicato il 01 Apr 2019

concept di sicurezza dei dati in cloud

MILANO – Si sono da poco chiusi i battenti del Security Summit, evento organizzato da Clusit, l’Associazione per la Sicurezza Informatica in Italia, in collaborazione con l’agenzia specializzata in cybersecurity Astrea e con il patrocinio della Commissione Europea. La kermesse è stata l’occasione per presentare il Rapporto Clusit 2019 sulla sicurezza ICT in Italia e nel mondo e per affrontare alcune tematiche molto “calde” riguardo ai rapporti fra evoluzione dei modelli di business in chiave cloud, peggioramento delle minacce del cybercrime, sviluppi in ambito Intelligenza Artificiale e Blockchain e cybersecurity.

La tavola rotonda intitolata Cloud a volo d’uccello è stata in particolare un appuntamento molto partecipato in cui si è affrontato il tema della sicurezza “del e nel cloud”.

Foto di Ramsés Gallego.
Ramsés Gallego, International Vice President, Board of Director di Isaca

Due ospiti di elevato spessore scientifico, Ramsés Gallego, International Vice President, Board of Director di Isaca (associazione mondiale fra i cui temi di ricerca spicca il rapporto fra società ed evoluzione digitale), e Daniele Catteddu, Chief Technology Officer di Cloud Security Alliance (altra associazione internazionale specializzata nella cybersecurity legata allo sviluppo degli ambienti Cloud), hanno avuto il compito di proporre risposte queste due domande. Quali innovazioni di business sono permesse oggi dal cloud? Quali problematiche di compliance e sicurezza del cloud e nel cloud devono affrontare le aziende mentre si accingono a fare leva su quelle innovazioni?

Daniele Catteddu, Chief Technology Officer di Cloud Security Alliance

Un approccio basato sulla misurazione

Gallego, nel suo speech, dopo aver ricordato che “il cloud è un enabler di business”, ha ripetuto più volte che esso offre anche la “possibilità di vedere di chi entra in contatto con le aziende, come si comporta, cosa cerca. Se volete che il cloud sia realmente un abilitatore di business – ha tuonato – dovere misurare, misurare, e misurare, chi è acceduto a cosa, quando e come. Fra le misurazioni sono incluse anche quelle finalizzate a garantire la sicurezza degli accessi al e nei cloud delle aziende”. Quindi l’International Vice President, Board of Director di Isaca ha invitato i presenti a fissare direzioni strategiche nell’utilizzo del cloud, ad assicurarsi che tutti gli obiettivi siano ‘mappati’, ad accertarsi che tutti i rischi siano gestiti, e di adottare un atteggiamento responsabile nell’utilizzo delle risorse di ciascun tipo di Cloud”. “Il Cloud – ha aggiunto poi – oggi è la piattaforma IT di riferimento. Ed anche in questo contesto vanno valutati i costi, i ritorni sugli investimenti (ROI), i rischi, le performance in termini di agilità e velocità, e i le qualità dei vendor. Per chi si accinge ad utilizzare il cloud come enabler di business, insomma, prima di tutto occorre un cambiamento di mentalità”.

Le sfide in un Cloud più maturo

Che il Cloud sia diventato la “nuova piattaforma IT” di riferimento, lo ha confermato anche Catteddu. “Alla ‘RSA Conference [4-8 marzo, San Francisco, ndr] – ha esordito – la Cloud Security Alliance ha festeggiato i dieci anni di vita. Contemporaneamente abbiamo saputo che il fatturato del cloud ha finalmente superato quello dell’IT tradizionale. Nell’ultimo decennio – ha poi aggiunto con un tono meno entusiastico il CTO di CSA – il cloud è maturato e si sono aggiunte anche nuove sfide. Si è sviluppata la Surveillance Economy, il cui business si basa soprattutto sulla raccolta di informazioni sulle persone”. A questi “Surveillance Capitalist”, per usare un altro termine divenuto comune, “il cloud offre l’opportunità di attuare politiche di concentrazione”, ha sottolineato Catteddu. “Anche per questa ragione i governi sono diventati molto attivi nel varare normative a tutela dei dati personali degli utenti”.

Quanto all’importanza dell’azione normativa, Catteddu ha elogiato la nascita e l’entrata in vigore della General Data Protection Regulation dell’Unione Europea (GDPR), in quanto “ha rappresentato una grande presa di coscienza della necessità di mettere al centro di tutto l’utente. È vero che l’avvento del GDPR ha gettato nello sconforto molte aziende, ma è altrettanto reale il fatto che ha introdotto un concetto di accountability (responsabilità) nell’uso del cloud”.

Fra le altre sfide originate dallo sviluppo di questa piattaforma, il CTO di CSA ha citato l’opportunità per le aziende di sviluppare più velocemente applicazioni agili e flessibili, che possono essere implementate ovunque, attraverso la metodologia DevOps. “Le aziende – ha aggiunto – si trasformano in strutture sempre più codificate. Diminuiscono le righe di codice [legate all’esistenza di grandi applicazioni monolitiche, ndr], ma aumenta la quantità di microservizi che devono essere coordinate. Oltre ad adottare queste nuove tecnologie di sviluppo, le aziende si dovrebbero preoccupare di garantire che il loro aumento sia controbilanciato da un’altrettanta crescita delle risorse per la cybersecurity”. Quindi, Catteddu ha aggiunto all’elenco delle sfide la diffusione di tecnologie IoT (Internet of Things), dell’edge computing, di nuove normative e del gap da colmare di conoscenze e risorse umane in grado di garantire l’auditing della sicurezza e delle compliance.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4