Technology HowTo

Cloud security: sogno o realtà? Focus sulle strategie per affrontare il problema

La sicurezza in cloud è un argomento dibattuto in quanto è la prima preoccupazione delle aziende che si avvicinano ai cloud services. Come si leggerà, esistono normative e certificazioni che possono rassicurare i clienti finali, così come best practice da adottare. D’altra parte, grande importanza rivestono i contratti tra provider e utenti del servizio

Pubblicato il 08 Feb 2017

9814 Cloud Security

Gli analisti individuano ancora oggi la sicurezza, tra le principali barriere all’adozione di soluzioni cloud computing: tra gli altri, in uno studio di qualche mese fa di Better Cloud e 451 Research è emerso che sebbene ben il 64% dei quasi 300 intervistati gestisca già i propri processi It in Cloud, totalmente o in parte, e ne stia sperimentando i benefici, il problema più urgente e sentito quando si parla di questi temi è la cloud security, per oltre la metà degli utenti.

Parallelamente, con la sempre maggiore diffusione del cloud, secondo l’ultimo rapporto Assintel, i direttori It indicano una crescita esponenziale dei servizi implementati per proteggere dati, applicazioni e infrastruttura sulla nuvola: si stima infatti che nel 2016 l’insieme dei Cloud management e Security services abbia raggiunto un volume di spesa pari a 198 milioni di euro, realizzando una crescita del 20%. L’esperienza delle grandi aziende dimostra, del resto, che i vantaggi derivati dall’adozione del cloud in termini di flessibilità e innovazione, possono superare – con le dovute cautele, policy e tecnologie di sicurezza – i rischi associati alla sua introduzione.

Come risolvere i problemi di cloud security delle aziende

Secondo quanto comunicato in occasione della presentazione degli ultimi dati dell’Osservatorio Information Security & Privacy i principali rischi per gli ambienti cloud dipendono dal rapporto con il fornitore. La minaccia più importante per le imprese coinvolte nell’Osservatorio stesso è la mancanza di controllo sulle operations del service provider (63%), per il 44% il data breach, per il 41% la scarsa trasparenza rispetto agli obblighi contrattuali. Risulta subito evidente che più che la tecnologia preoccupa l’affidarsi a un provider.

La cloud security è da anni argomento di discussione in questo senso, già a fine 2013 è stata presentata da Bsi (British Standards Institution) in partnership con Csa la certificazione Star, standard per la sicurezza destinato ai fornitori di servizi cloud. Si tratta di una soluzione pensata come integrazione della norma Iso/Iec 27001 (il sistema di gestione per la sicurezza delle informazioni in cui rientrano gli standard Iso/Iec 27018 e 27018 i cui principi fondamentali sono consenso, controllo, trasparenza e comunicazione), che allo stesso tempo, mira a promuovere l’utilizzo delle migliori pratiche per fornire garanzie di sicurezza nella nuvola; in tale contesto è stato creato un apposito strumento di controllo denominato Cloud Control Matrix, che identificando i controlli più rilevanti da compiere per verificare la sicurezza dei servizi erogati in cloud, viene proprio in aiuto alle aziende.

Gartner identifica tre aree di preoccupazione per le aziende:

  1. Prima di tutto, l’architettura multi tenancy dei fornitori di servizi cloud (progettata appositamente per offrire spazi fisici e virtuali per i carichi di lavoro dei clienti). A questo proposito, ai provider sono richiesti elevati standard di sicurezza, d’altra parte, gli stessi uomini di Gartner sottolineano che non vi è correlazione tra livello di sicurezza e il grado di multi tenancy.
  2. In secondo luogo, si fa riferimento alla virtualizzazione, che richiede un diverso modo di gestione negli ambienti cloud in quanto le aziende usano tool differenti per le macchine virtuali e quindi la security preoccupa di più.
  3. Infine, è stato sottolineato, che le applicazioni Saas offrono un sempre maggiore livello di sicurezza anche se, d’altra parte, si tratta di un tema la cui complessità è in crescita, basti pensare ai numeri: Gartner calcola che molte aziende ormai hanno da un minimo di 200 a un migliaio di applicazioni Saas in uso. A questo proposito viene suggerito di suddividere in tre gruppi le business applications adottate in azienda. Il primo riguarda quelle più utilizzate (si calcoli che l’80% del mercato è fatto da 100 cloud services) che possono essere usate con una ragionevole tranquillità. Nel secondo caso, quello da tenere maggiormente sotto controllo e a cui dedicare risorse, si tratta di applicazioni strategiche, verticali, che si stanno sperimentando per promuovere il core business dell’azienda. Infine, si fa riferimento a quelle applicazioni per cui è possibile correre un accettabile rischio affidandosi a piccoli cloud service provider, ma il consiglio è quello di porre molta attenzione.

La sicurezza dei dati in cloud

La sicurezza dei dati trattati in cloud, riguarda vari aspetti.

Oltre ai principali rischi derivanti dalla sicurezza tradizionale (perdita, mancanza di riservatezza eccetera), è necessario focalizzarsi sulla cancellazione “non sicura” (proprio in riferimento alle modalità di cancellazione, oltre che ai tempi di conservazione, è opportuno sottoscrivere clausole di contratto).

Inoltre, le informazioni lavorate dai servizi trasferiti in cloud sono originate e fruite dal cliente, ma trattate dal fornitore, vi è quindi un continuo flusso di informazioni strutturale al modello cloud che però deve essere regolato sia sotto il profilo tecnologico sia, di nuovo, sotto quello contrattuale, ossia delle responsabilità.

Per quanto riguarda, infine, le fasi di trattamento dei dati in cloud, esclusa la memorizzazione che offre solidi strumenti di cifratura, si aprono finestre di rischio che devono essere gestite con tecniche adeguate, accompagnate da robusti meccanismi di identificazione dei soggetti autorizzati all’accesso, in pratica misure anche organizzative.

Guardando alla legislazione, in Italia, il Garante della Privacy ha fornito indicazioni e prescrizioni relativamente agli aspetti di trattamento dei dati personali nel cloud, nello specifico se nell’articolo 28 del Codice della privacy si dice che il titolare del trattamento è colui che esercita un potere decisionale del tutto autonomo sulle finalità e modalità del trattamento, ivi compreso il profilo della sicurezza, in altri articoli si allude a una contitolarità tra utilizzatore e cloud provider. In tali occasioni, sono da gestire molteplici aspetti tra cui la possibilità che utenti e cloud provider siano in nazioni diverse, presenza o meno di garanzie relative alla connettività di rete e così via. Una più recente dottrina sottolinea che il cloud provider, per i profili di gestione della sicurezza dei dati, può avere un proprio ruolo autonomo rispetto all’utente.

In generale, per colmare un vuoto normativo in tema data breach è intervenuto il Nuovo regolamento Ue che in caso di violazione dei dati (definita dal Regolamento come una violazione di sicurezza, sia accidentale che conseguente ad attività illecita, che comporta distruzione, perdita, modifica dei dati e rivelazione nonché accesso non autorizzati ai dati) stabilisce che il titolare ha l’obbligo di provvedere, immediatamente o comunque entro 72 ore, a notificare la violazione all’Autorità garante competente e agli interessati i cui dati sono stati violati, se ci sono rischi per i loro diritti e le loro libertà.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4