Skip to main content

La cybersecurity nel cloud: più sicura di quanto pensi [podcast]

Michael Heffner, Vice President, Solutions and Industry Go To Market
May 1, 2018

Il boom del cloud computing ha connesso più persone di quanto si potesse immaginare. Tuttavia, la grande quantità di aziende migrate sul cloud ha amplificato la necessità di tutelare i dati e mantenere la conformità normativa.

Il fenomeno inarrestabile della migrazione su cloud

La migrazione sul cloud è stata inarrestabile. Secondo il report 2018 sullo stato del cloud di RightScale, il 96 % delle aziende esistenti utilizza almeno un cloud pubblico o privato. Inoltre, gli esperti di Forrester hanno previsto che la spesa per i cloud pubblici aumenterà da 146 miliardi di dollari del 2017 a 236 miliardi del 2020.

Intanto, chi lavora nel digitale passa un'enorme quantità di tempo sul cloud. Secondo quanto riportato da Citrix circa l'80 % dei professionisti delle aziende tecnologiche utilizza app basate su cloud e, nelle aziende con modalità di lavoro flessibili, il 57 % dei professionisti lavora su cloud.

Il falso mito della mancanza di sicurezza: non cascarci anche tu

Molti si lasciano frenare dai perduranti pregiudizi sulla mancanza di sicurezza delle tecnologie cloud. Tuttavia, è difficile rimanere scettici quando i fornitori di cloud si dimostrano di fatto più esperti in materia di sicurezza informatica rispetto a molti amministratori IT aziendali.

Probabilmente, la mancanza di fiducia è alimentata dalle numerose storie dell'orrore sulla violazione dei dati che infestano il web, ma è meglio non lasciarsi fermare da dicerie informatiche e titoli acchiappa clic e concedere al cloud il beneficio del dubbio.

“Forse è vero che il modo più sicuro per tutelarsi è quello di scollegarsi completamente da internet,” afferma Omesh Agam, Chief Information Security Officer di Appian. “A parte gli scherzi, credo sia necessario istituzionalizzare la sicurezza come parte del proprio modello di business”.

“Prendiamo ad esempio,” continua, “tutti quegli schemi di sicurezza a cui siamo tenuti a essere conformi. Forse la risposta sta nel prendere come punto di riferimento gli schemi e le linee guida più elevati, per farne il proprio standard”.

Elevare gli standard di sicurezza

“A mio modo di vedere,” dice Agam, “come pure per molte delle aziende con cui abbiamo parlato (e anche per Appian) esistono miriadi di certificazioni a cui rimanere conformi per offrire un livello base di sicurezza sia ai clienti, sia a noi che lavoriamo secondo gli standard più elevati del settore.”

Agam ha inoltre fatto cenno a quanto sia difficile stare al passo con regolamenti globali e normative sulla sicurezza in continua evoluzione e che seguono i dati in tutto il mondo. Ci ha spiegato che le normative relative alla compliance possono essere locali o internazionali, elemento che rende la protezione dei dati ancora più complessa.

“Le vulnerabilità si presentano con sempre maggiore rapidità,” dice Agam, “e a causa di trend digitali come l'IOT (Internet of Things), è divenuto necessario monitorare sia l'infrastruttura interna che quella esterna”.

La diffusione a macchia d'olio degli attacchi informatici

“Inoltre, bisogna tener conto della difficoltà di modernizzare la sicurezza con DevSecOps, per non parlare di proteggere i dati dalla minaccia di ransomware e malware che si stanno diffondendo a macchia d'olio. Insomma, per contrastare alcuni degli attacchi più avanzati che ci colpiscono in ogni momento ci troviamo ancora costretti a ricorrere a una gestione della sicurezza di base,” spiega Agam.

Gli hacker creano dai 300 000 al milione di virus e altri prodotti software nocivi ogni giorno, tra cui i soliti sospetti: attacchi DDoS, violazione dei dati, richieste di riscatto e furto di dati proprietari. E questa è solo la punta dell'iceberg. Secondo il Center for Strategic & International Studies, da un punto di vista economico i crimini informatici prosciugano circa 600 miliardi di dollari l'anno in tutto il mondo.

Il cloud più sicuro di molti sistemi tradizionali

Nel frattempo, per proteggersi dal crimine informatico, molte aziende stanno rimpolpando i budget destinati alla sicurezza. Gartner prevede che la spesa globale sulla sicurezza raggiungerà i 96 miliardi di dollari nel 2018, pari all'8 % in più rispetto al 2017.

Di recente, la CNBC ha riferito che i crimini informatici sono il tipo di reato più in ascesa negli Stati Uniti e costano miliardi in produttività persa e informazioni rubate. La buona notizia è che i servizi di sicurezza gestiti nel cloud possono essere più efficaci contro gli attacchi informatici e nella protezione dei dati rispetto ai sistemi on-premise. O perlomeno, così dicono gli esperti del cloud di Gartner.

    • Nel 2018, il 60 % delle aziende che implementano strumenti di security adeguati per il cloud registrerà un terzo in meno di errori relativi alla sicurezza.

    • Entro il 2020, i carichi di lavoro relativi all' Infrastructure as a Service del cloud pubblico subiranno circa il 60 % di incidenti relativi alla sicurezza in meno rispetto ai data center tradizionali.

    • Entro il 2022, il 95 % degli incidenti relativi alla sicurezza su cloud sarà causato dai clienti.

Il problemi di sicurezza sono dovuti agli utenti maldestri

Se i numeri non ti convincono, ti basti pensare che le autorità di regolamentazione finanziaria, la categoria di funzionari più ossessionata dalla sicurezza in tutto il pianeta, hanno dato il via libera alle banche per migrare i propri dati sul cloud.

Il fatto è che le problematiche di sicurezza non derivano dal cloud. Non è un problema di tecnologia. Sta tutto nell'aggiornare le politiche aziendali e migliorare la formazione per l'era digitale.

Quello che dovrebbe intimorire davvero è che in molti casi la causa principale delle violazioni di sicurezza è l'errore umano.

È il maldestro di turno che, senza rendersene conto, scarica un file nocivo, esponendo così l'azienda agli attacchi informatici.

Insomma, si torna al divario tra sicurezza informatica e formazione dei dipendenti. I dati di un recente studio del Financial Planning Association’s Research and Practice Institute (FPA) rivelano che circa un terzo dei dipendenti non riceve alcuna formazione in materia di sicurezza informatica.

Lo stesso studio afferma che, in media, i dipendenti ricevono meno di due ore di formazione l'anno sulla cybersecurity,a conferma del fatto che la minaccia più grande alla sicurezza aziendale non è la tecnologia cloud, ma il divario tra le politiche relative alla sicurezza informatica e la formazione dei dipendenti.

Tuttavia, Forbes riporta che il 48 % delle aziende non ha un programma di sensibilizzazione in merito.

La compliance nel cloud

Per quanto riguarda la conformità, i migliori servizi cloud coprono tutti i domini di protezione e i controlli di sicurezza principali, tra cui:

    • Framework di reporting per la gestione del rischio della cybersecurity della Association of International Certified Professional Accountants (AICPA) per garantire che i fornitori tutelino informazioni e privacy, per report Service Organization Control (SOC) 1, 2 e 3.

    • Payment Card Industry Data Security Standard (PCI DSS), uno schema internazionale di requisiti per la sicurezza dei dati con lo scopo di garantire che i fornitori mantengano un ambiente sicuro per l'accettazione, l'elaborazione, la conservazione e la trasmissione dei dati delle carte di credito.

    • Health Insurance Portability and Accountability Act del 1996 (HIPAA), normativa statunitense volta a mantenere la riservatezza dei dati e implementare misure di protezione dei dati medici.

La migrazione su cloud genera un enorme potere in termini di computing low-cost, che è proprio quello che serve per avere la meglio sugli hacker.

Condividere il controllo

Senza la considerevole capacità di intelligence in materia di sicurezza di una piattaforma cloud, rilevare gli schemi sospetti all'interno di grandi quantità di dati operativi è una missione impossibile per gran parte delle aziende. I servizi cloud gestiti permettono di tenersi più facilmente al passo con gli aggiornamenti sulla sicurezza e di raggiungere una rapidità operativa prima impensabile.

“Stiamo assistendo a un cospicuo fenomeno di migrazione dai sistemi fisici al cloud,” spiega Agam. “Questo perché, spostandosi sul cloud, le aziende, possono concentrasi sullo scopo ultimo delle proprie applicazioni aziendali.

“Ora, questo non vuol dire che ci si possa dimenticare della compliance relativa a requisiti aziendali e di sicurezza: significa adottare programmi di verifica condivisi, spartendo il controllo con altri.”

Agam spiega inoltre che, se un'azienda sta passando a un fornitore di Infrastructure as a Service e costruendo un servizio virtuale con loro, non significa che possa ignorare la sicurezza fisica come requisito di base. Al contrario, vuol dire lavorare con il proprio fornitore di infrastrutture e valutare il suo approccio alla sicurezza. Per prima cosa, conviene esaminare il tipo di audit scelto e aggiungerlo al proprio schema di due diligence.

Monitoraggio multistrato continuo

“Valutare se i server di un fornitore sono stati rinforzati non serve,” dice Agam. “Sarebbe meglio capire cosa fa per essere al passo con gli standard di sicurezza, ad esempio con il monitoraggio continuo. Qui ad Appian disponiamo di un sistema di monitoraggio multistrato, con i nostri fornitori di infrastruttura a livello di hardware fisico, data center, server e a livello della piattaforma.

“Non ci si può permettere di trascurare la sicurezza di base in termini di registrazione e monitoraggio solo perché si sta utilizzando un fornitore SAAS,” spiega Agam.

Per quanto riguarda i trend da tenere sotto controllo nel 2018 e oltre, secondo IDC più dell'85 % delle aziende IT passerà all'architettura multicloud entro il 2018. Circa il 75 % dei team di sviluppatori includerà funzionalità di intelligenza artificiale/cognitiva nelle applicazioni cloud, prelevandole in gran parte dal cloud.

Inoltre, la migrazione su cloud sarà ancora più rapida, alimentata dalle ultime innovazioni in fatto di crittografia basata su cloud, blockchain e servizi di conformità digitali.

Pronto per il Regolamento generale sulla protezione dei dati?

Per altre infografiche visita Statista.

A proposito di conformità, di recente la Harvard Business Review ha riferito che i legislatori statunitensi stanno avendo a che fare con rivelazioni scomode e continue riguardanti potenziali abusi dei dati social di Facebook (In genere non si pensa ai social network come cloud computing, ma di fatto lo sono). Le gravi violazioni dei dati da parte di diversi marchi celebri hanno contribuito ad aumentare le richieste per una regolamentazione più ferrea delle aziende digitali.

In Europa l'argomento è ancora più scottante, con l'entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR) che rappresenterà una profonda rivoluzione delle norme sulla protezione dei dati nella regione.

Con l'implementazione del GDPR, le aziende saranno tenute a denunciare le violazioni dei dati alle autorità preposte e a informare i clienti entro 72 ore. Il prezzo da pagare per la non conformità? In una parola: salato. Chi viola la legge sarà tenuto a pagare una multa pari alla cifra che risulterà più elevata tra 20 milioni di euro o un forfeit pari al 4 % delle entrate totali.

Il GDPR non ha fermato i leader digitali nella loro migrazione sul cloud. Per vedere le cose in prospettiva, secondo l'IDC la spesa per il cloud pubblico crescerà di almeno sette volte rispetto all'intera spesa in campo informatico. Entro il 2020, la spesa per il cloud pubblico arriverà a 203,4 miliardi di dollari in tutto il mondo, partendo dai 122,5 miliardi stimati per il 2017.

Il parere degli esperti: il cloud pubblico continuerà a crescere

Nell'era del GDPR, si tende a sottostimare la richiesta di cloud pubblico da parte delle grandi aziende. Tuttavia, i numeri parlano chiaro: le aziende con più di 1000 dipendenti rappresentano più del 50 % della spesa relativa al cloud. E i grandi marchi vivranno la crescita più rapida di qualsiasi altro segmento cloud, stando a quanto riportato dall'IDC.

Se stai pensando di adottare un sistema cloud ma temi per la sicurezza dei dati a livello operativo, cosa ti conviene fare?

“Penso esistano diversi approcci possibili,” afferma Agam. “La prima cosa è partire dalla propria organizzazione interna, fare il punto della situazione delle risorse più importanti e comprendere a fondo il flusso dei dati all'interno e all'esterno dell'azienda.

Agam spiega che, se si collabora con un fornitore di server, è importante capire quali, tra i dati più importanti dell'azienda, verranno gestiti dal fornitore del servizio cloud.

Conosci i requisiti di sicurezza per i tuoi dati

Inoltre, è fondamentale conoscere i requisiti di sicurezza dei propri dati, in modo da intavolare un dialogo più aperto e onesto con il responsabile della sicurezza del fornitore cloud riguardo a conformità e requisiti normativi.

“Parla con il responsabile della sicurezza,” consiglia Agam. “E assicurati che capisca come funziona il tuo settore. È importante che sappia parlare la tua lingua (di settore). Pur non avendo i tuoi stessi controlli di sicurezza, potrebbe essere capace di dimostrare che quello che fa si adatta alle tue esigenze”.

La valutazione della sicurezza non è compito solo del fornitore del cloud

“La valutazione della sicurezza di un fornitore cloud non è compito da svolgere una tantum,” dice Agam. Si tratta, anzi, di un processo in continua evoluzione, che bisogna mantenere sempre attivo, conducendo valutazioni a scadenze regolari, magari una o due volte l'anno. Esegui verifiche leggendo i report audit, SOC e PCI dei fornitori.

“Se sei un cliente federale in US, esamina i documenti di certificazione FedRAMP. L'unico modo per sapere se qualcosa funziona è testarlo, e ottenere queste certificazioni audit indipendenti è un buon modo per gestire il tuo programma di monitoraggio continuo senza dover fare un audit completo tutto da solo,” spiega Agam.

In fin dei conti, è tutto qua. La sicurezza, sia per i sistemi cloud che on-premise, sta nell'adottare la giusta mentalità.

La lezione fondamentale? Meglio adottare un approccio basato sulle policy per controllare cosa è possibile fare o meno con i dati più rilevanti per la tua attività, a tutti i livelli.

Ascolta il podcast

In questo stimolante podcast, Malcom Ross dialoga con il Chief Information Security Officer di Appian, Omesh Agam, per un punto di vista innovativo sulla sicurezza di dati, applicazioni e infrastrutture nel cloud. Leggi l'intervista e scopri:

    • Come scegliere un partner cloud di cui fidarsi

    • Quali sono gli ultimi trend in fatto di adozione del cloud

    • I migliori programmi e standard di gestione della sicurezza

    • L'importanza di audit e conformità nel cloud

    • Il GDPR e perché ti dovrebbe interessare

[podcast id="14650697" text="Cybersecurity in the Cloud: Safer Than You Think" "on" "Spreaker.""]