Servizi cloud ottimi alleati delle aziende, ma la sicurezza non è un’appendice

CloudCloud managementSicurezza

I servizi in cloud possono rappresentare una grande risorsa per le aziende. Ma governance e controllo restano aspetti fondamentali da prendere in esame

Una lista nera di oltre 2 milioni fra individui e società a rischio è stata esposta, dopo che una società con accesso al database di Dow Jones l’ha lasciata su un server Amazon senza password. Colpa di Amazon? Colpa del database di Elasticsearch, che conteneva i dati? Assolutamente no!
Colpa di Dow Jones? Non nello specifico, anche se – in quanto titolare del trattamento – avrebbe dovuto vigilare sul corretto utilizzo e sull’adeguata protezione di informazioni fornite a terzi.
Colpa della terza parte? Certamente sì! Lasciare un database indicizzato (accessibile) e senza password è qualcosa di talmente ovvio e basilare da lasciare attoniti e sbalorditi.
Lo spunto di riflessione però non riguarda la leggerezza nella configurazione dell’accesso al database, dal momento che queste situazioni si ripropongono sempre più frequentemente, bensì riguarda il livello di sicurezza dato dai servizi cloud in generale.

Il mondo del cloud, sempre più utilizzato dalle aziende, è un ottimo modo per esternalizzare tutti quei costi non strettamente inerenti al proprio core business e per avere in cambio il massimo livello di performance e affidabilità, sempre che sia correttamente negoziato e inserito in contratto.
Quello che non si ha in cambio però è la sicurezza. Se i servizi cloud offrono facilità d’uso e flessibilità di configurazione e dimensionamento, introducono anche nuovi rischi, dato che i cloud provider non saranno tendenzialmente responsabili del contenuto e del sistema di accesso e autenticazione. Anzi, come emerge chiaramente dal modello definito da Gartner, le responsabilità in tema di sicurezza coinvolgono sempre di più il cliente man mano che ci si sposta sui diversi modelli di cloud – dal modello IaaS a quello PaaS e infine al SaaS.
Sicurezza dei contenuti e del sistema di accesso e autenticazione ricadono tipicamente sull’azienda cliente, che deve considerare almeno due aspetti di fondo, certo imprescindibili:
Conoscenza dei dati: ovvero avere un quadro preciso dei dati che escono dall’azienda. Quali sono, chi li gestisce e chi può averne accesso;
Controllo sui dati: verificare l’aderenza di quanto impostato alle policy definite ed effettuare check periodici sulla configurazione del sistema in cloud.
Sono da qualche anno disponibili tecnologie sempre più sofisticate e sempre più integrate con i sistemi dei cloud provider per effettuare questo genere di monitoraggio costante. L’importante non è solo acquisirne uno, ma acquisirne uno erogato come servizio, perché garantisce continuità a fronte di un investimento tipicamente graduale.
Ancora una volta l’efficacia di una tecnologia è data dal servizio che la rende disponibile, tanto più se questo servizio viene erogato in forma gestita, ovvero abbinato a una cura di tutti gli aspetti gestionali ed amministrativi.

a cura di Gianluca Vadruccio, CTO Cybersecurity di Axitea

Autore
Scopri di più 
Scopri di più