Molte organizzazioni, per garantire la business continuity, nel periodo di pandemia hanno adottato servizi di cloud pubblico, permettendo ai propri lavoratori di operare da remoto. Nello stesso periodo molte lamentano un deciso aumento delle criticità legate alla compliance e alla perdita di dati. È quanto emerge da un recente studio condotto da Enterprise Strategy Group (ESG) su 304 professionisti IT, intitolato “The State of Data Privacy and Compliance”.
Il 57% degli intervistati, infatti, ritiene che oltre il 20% dei dati non siano sufficientemente protetti e si tratterebbe della metà di quelli sensibili già archiviati nel cloud pubblico. Il 61% ha anche dichiarato di aver perso dei dati o di sospettare di averli persi. La data loss è in gran parte attribuita all’errore umano: con l’implementazione del remote working i casi si sono effettivamente moltiplicati. Un terzo (36%) degli intervistati lo conferma per esperienze sul campo.
Un’altra criticità emersa, sottolineata dai manager senior, è il rischio di vedere le applicazioni cloud aggiunte durante la pandemia diventare un altro silo che ostacola l’operatività dell’azienda. Questo vale anche se si trovano in AWS o Azure.
“Le normative stanno cambiando, le architetture anche e noi stiamo sostituendo le nostre applicazioni legacy con soluzioni SaaS”, dichiara Niel Nickolaisen, CIO di Sorenson Communications, fornitore di servizi di video relay e di interpretariato in lingua dei segni americana a Salt Lake City, Utah. “Ora non c’è più nulla on premise e i dati si trovano nel data center di qualcun altro. Ci sono più posti dove le cose possono accadere”. Per affrontare questa sfida, l’IT deve per forza adeguare le policy di sicurezza e di accesso, rendendole indipendenti dal luogo in cui si trovano i dati.
“Un ambiente ben strutturato tra storage, calcolo e cloud impatta direttamente sul modo in cui le aziende gestiscono la compliance”, sottolinea Vinny Choinski, analista di ESG, una divisione di TechTarget. “Le aziende devono agire rapidamente per proteggere i dati, poiché qualsiasi perdita crea un senso di rischio per i loro clienti. È comprensibile che nessuno voglia avere a che fare con chi non è in grado di proteggere i propri dati. Gli ambienti distribuiti di oggi sono però bersagli mobili, spesso gestiti da più di un dipartimento o addirittura da più organizzazioni. Inoltre, i numerosi provider di applicazioni SaaS tendono a concentrarsi maggiormente sulla fornitura di servizi di uptime piuttosto che sulla sicurezza. Restano quindi sotto la responsabilità dell’utente sia la sicurezza sia dei dati presenti in questi servizi, sia dell’accesso ad essi”.
La corsa alla trasformazione digitale
“Siamo in una fase in cui molte aziende hanno accelerato i progetti di trasformazione dei dati, ma l’ecosistema non è ancora riuscito ad assorbire i cambiamenti. Ad esempio, mentre le realtà più grandi, come AWS o Microsoft, possono essere preparate a fornire servizi locali, altre non lo sono per questo livello di segregazione” osserva Nickolaisen. “Idealmente, tutti i services provider dovrebbero offrire istanze regionali dei loro servizi per quei clienti che desiderano o hanno bisogno che i dati risiedano in specifiche aree geografiche. Questo sarebbe utile quando un cliente vuole replicare i dati di una regione in un’altra regione utilizzando lo stesso provider. Così facendo si riduce la complessità e si migliora anche l’agilità. Quando faccio una modifica ai servizi, poi non devo che replicarla, utilizzando gli stessi servizi del provider, nelle diverse regioni”.
Anche l’instabilità normativa aggiunge complessità alle sfide di compliance. “Le regole del GDPR, ad esempio, sono mutevoli e creano molta incertezza su ciò che le organizzazioni possono o non possono fare” dice Nickolaisen, spiegando che la sua azienda si è conformata articolando nell’EULA le modalità di utilizzo dei dati dei clienti e chiedendo loro di acconsentire. “Anche nell’UE o in UK, a seconda del servizio utilizzato, non si erano verificati problemi – ha dichiarato – da allora non è più così ermetico come pensavamo”.
Rischi per la sicurezza interna
Lo studio ESG ha indicato anche altre ragioni legate alla perdita di dati residenti nel cloud diverse dalla presenza di remote worker. Le aziende di solito conservano i loro dati più sensibili in un data center ritenendo che sia compito dei services provider occuparsi di alcuni rischi che li riguardano, tra cui gli attacchi che provengono dall’interno. Il controllo non sarà forse peggiore, ma si ha la sensazione che si sia rimasti un passo indietro.
In un’indagine condotta su 177 intervistati, il 29% ha dichiarato che la perdita di dati in cloud è dovuta al caricamento di dati sensibili della concorrenza sui servizi cloud gestiti dall’IT. Un altro 29% delle perdite di dati è stato causato dall’esposizione di dati da dispositivi personali, mentre il 25% dall’uso di servizi cloud non autorizzati. Anche se i casi sono meno numerosi, il 20% ha segnalato anche perdite di dati dovute a insider malintenzionati.
Per tenersi aggiornati, meglio automatizzare
Secondo un esperto, gli utenti possono e devono reagire con l’automazione. “Le aziende devono considerare ogni opzione che permetta loro di monitorare e gestire la loro infrastruttura, compresi l’interconnettività e i controlli di accesso, nonché le applicazioni” spiega Andrew Plato, CEO di Zenaciti, società di consulenza con sede a Beaverton. Plato ha spiegato che l’automazione rende la compliance più semplice nel cloud anche se nelle prime fasi si possono riscontrare maggiori difficoltà. Il suo consiglio è rivolgersi ai provider di servizi cloud per ottenere aiuto. Solitamente hanno risorse, sicurezza e modelli di sviluppo adeguati a guidare i team IT attraverso il processo.
Microsoft Azure, ad esempio, pubblica librerie di modelli, blueprint e altri documenti su come garantire la privacy e la sicurezza negli ambienti Azure. “I fornitori di servizi vogliono che l’utente rimanga sulla loro piattaforma – prosegue – e che continui a usufruire dei loro servizi. Sono quindi disposti ad aiutarlo in qualsiasi modo, a maggior ragione se si tratta di questioni importanti come quelle di conformità e sicurezza“. Ma aggiunge: “Non saranno però loro a venire da voi. Dovete chiedere”.
“La recente corsa all’inserimento delle applicazioni nel cloud ha un forte impatto soprattutto sui dipendenti che hanno creato le applicazioni locali. In quel caso, infatti, si resta vincolati a ciò che si ha costruito – sottolinea Plato – e la preoccupazione è che perdano potere quando l’applicazione che hanno curato diventa un servizio cloud e scoprono che la loro esperienza, coltivata per anni, è ormai irrilevante”.
C’è in effetti chi teme che il cloud offra meno controllo, ma si può verificare che il controllo è al contrario molto maggiore. “È un controllo più fine e granulare – spiega Plato – le persone sono l’anello debole. È quindi necessario costruire attorno allo scripting e a DevOps, dove l’uomo ha un ruolo meno rilevante nell’equazione”.
Le normative e gli standard di conformità sono senza dubbio divenuti più complessi ma stanno maturando anche tecnologie adatte alle nuove esigenze di sicurezza per il lavoro a distanza. “Quelle per l’accesso da remoto possono limitare e circoscrivere la portata di un attacco quando un endpoint è compromesso” conclude. “Le tecnologie di Extended Detection and Response (XDR) possono poi rilevare e monitorare un attacco, ma anche effettuare la relativa ricognizione dell’aggressore e del comportamento dell’utente che contribuisce alla compromissione. Queste due tecnologie lavorano insieme per proteggere l’endpoint”.
