In quasi ogni indagine sul cloud computing, la sicurezza è in cima alla ragioni per le quali le imprese esitano ad abbracciare le tecnologie cloud-based. E giustamente, verrebbe da dire, specie se non si può essere sicuri di come i dati, in particolare quelli sensibili, saranno trattati e protetti. Allora sarebbe temerario “andare alla cieca nel cloud”, nonostante i benefici economici siano consistenti.
Alla luce di queste remore, come può un’organizzazione capire se un fornitore di servizi cloud è all’altezza delle sue aspettative? Le grandi aziende e i dipartimenti governativi hanno, spesso, il peso per pretendere il diritto di effettuare un controllo dettagliato dei locali del provider e una verifica attenta delle procedure utilizzate. Le aziende più piccole, invece, non hanno questa opportunità.
Diverse iniziative, in particolare quelle a opera della Cloud Security Alliance (CSA), hanno cercato di aiutare le aziende a formulare almeno le domande giuste da porre ai potenziali fornitori di servizi. Si tratta di interrogativi utili per “farsi un’idea”, anche se non esaustiva, delle modalità e delle garanzie con le quali vengono trattati i dati.
Questi questionari, però, possono rivelarsi un’opzione piuttosto lunga e difficile da mettere in pratica, anche a causa della scarsa collaborazione dei provider. Ma oggi , forse, c’è una novità…
Un nuovo maturity model promette di fornire una guida semplice alla valutazione dei livelli di sicurezza adottati dalle aziende che offrono servizi cloud, offrendo vantaggi sia al potenziale acquirente, sia al fornitore che, in pratica, dovrà sottoporsi a un unico processo di revisione dei processi anziché doverlo replicare per ciascun cliente.
Chiamato Common Assurance Maturity Model (CAMM), è frutto del lavoro di Raj Samani, un veterano della sicurezza che ha lavorato in società di consulenza, nel settore pubblico, ed è, attualmente, CTO europeo di McAfee.
Lo sviluppo di CAMM
Samani sapeva già da precedenti progetti da lui condotti personalmente presso una grande organizzazione come è difficile affrontare un gran numero di fornitori.
Il problema, secondo l’esperto, è che le aziende non hanno le risorse e il denaro sufficiente per effettuare i controlli necessari a garantire che le informazioni e i dati siano trattati in modo coerente alle normative di protezione vigenti nei diversi Paesi. Tuttavia, la soluzione gli è venuta in mente due anni fa, durante una conversazione con suo padre, proprietario di un hotel nel centro di Londra: “Mio padre si lamentava di un cliente scomodo, che pretendeva di fare un controllo approfondito sulla struttura. Mi stava dicendo quanto fastidio gli aveva causato questa persona. La sua risposta a questo cliente era stata che si trattava di un hotel a una stella, il che significa che non è lussuoso ma a buon mercato, e che questo era tutto quello che l’uomo in questione aveva bisogno di sapere per decidere se soggiornarvi o meno”.
Il racconto ha fatto nascere in Samani l’idea di applicare un sistema di valutazione simile a quello utilizzato per assegnare le “stelle” a un hotel ai servizi di cloud computing.
Samani si è reso conto che, se ampiamente adottato, questo sistema non poteva che far valutare in modo molto più rapido di quanto non avvenga ora i livelli di sicurezza e servizio offerti dai fornitori di cloud computing, alleviando al contempo i provider dall’onere di sottoporsi a continue verifiche da parte dei clienti.
I componenti di CAMM
Il modello CAMM è destinato a coprire i controlli basilari di sicurezza, ha dichiarato Samani, ma è stato progettato per mappare in modo incrociato le practice in accordo con altri standard, quali ISO 27001, COBIT (Control Objectives for Information and related Technology) e PCI DSS (Payment Card Industry Data Security Standard), per i clienti che abbiano esigenze specifiche. “CAMM fornisce un livello di base di controlli ed è possibile ampliare questa base in diversi modi – ha detto -. Questo significa che le aziende potranno pagare per il livello di sicurezza di cui hanno effettivamente bisogno. Così, se avete bisogno in Germania di un fornitore al livello 3 con il modulo per PCI, CAMM vi renderà più semplice trovarne uno all’altezza”.
Un aspetto importante del CAMM, sostiene Samani, è che la proprietà intellettuale per il quadro di riferimento e gli strumenti utili per effettuare l’audit saranno disponibili gratuitamente a chiunque li voglia utilizzare. Le sole spese vive saranno quelle legate all’utilizzo di un componente particolare del CAMM, battezzato Third Party Assurance Centre (TPAC).
TPAC è un archivio di informazioni sui fornitori di servizi, che elenca i loro livelli di sicurezza valutati attraverso una serie di misure. L’obiettivo è che TPAC diventi presto un marketplace utile a far incontrare la domanda e l’offerta di servizi cloud. I clienti potranno caricare i propri requisiti, elencando i vari livelli CAMM che vogliono assicurarsi, aggiungendo gli eventuali altri moduli di cui hanno bisogno, e gli verranno immediatamente presentati in un breve elenco i fornitori che si meglio si adattano alle loro esigenze.
Samani ha aggiunto che CAMM aiuterà i responsabili della sicurezza a quantificare il “rischio residuo”, in una modalità comprensibile ai vertici di qualsiasi azienda. “Si potrà andare dal CEO e dire, per esempio, che si è deciso di optare per una società di livello 3, ma che questo lascia un margine di rischio residuo. A quel punto, magari, l’amministratore delegato chiederà quanto costa optare per fornitori di livello 4 o 5, ovvero il massimo sulla scala CAMM, e poi valutare concretamente, e immediatamente, quale scelta sia la migliore in relazione al budget e ai rischi. In questo momento, in nessuna azienda è possibile fare un discorso di questo tipo”.
CAMM ha recentemente sottoposto a test alfa quattro utenti pilota e, una volta che il feedback di questi test sarà rielaborato, nel corso del mese di febbraio, verrà condotta una serie di beta test. Questi precederanno il vero e proprio lancio dell’iniziativa, previsto prima della fine dell’anno.
Il progetto è sostenuto da 150 organizzazioni, tra cui i principali fornitori di servizi cloud, enti governativi ed enti di settore come la CSA (Cloud Security Alliance) e l’Information Systems Audit and Control Association (ISACA).
Le reazioni all’avvento di CAMM
L’approccio CAMM è largamente visto come valido e promettente. Paul Simmonds, un membro del consiglio del Forum Gerico e co-autore del documento V3 della CSA Security Guidance, sostiene che CAMM svolge una funzione preziosa. “CAMM è stato ben ponderato e sono molto impressionato – chiarisce -. È modulare nei diversi domini utili e, come utente di servizi cloud, è possibile stabilire quali livelli di sicurezza sono necessari per la nostra organizzazione nelle diverse aree. CAMM rende molto più facile ottenere una breve lista di potenziali fornitori e si sta rivelando un controllo migliore e più approfondito rispetto a quello che la maggior parte delle aziende potrebbe gestire in autonomia”.
L’iniziativa ha anche ricevuto un forte sostegno da tutta Europa e annovera anche la European Network&Information Secuirity Agency (ENISA) nel suo comitato direttivo. “Crediamo che CAMM sia la chiave per aiutare il cloud computing decollare”, ha concluso Giles Hogben, program manager per i servizi di sicurezza in ENISA. Hogben ha, però, invitato anche alla cautela, sostenendo che qualsiasi nuovo standard non dovrebbe comportare costi aggiuntivi per le aziende. Inoltre, ha messo in guardia sull’eccessiva semplificazione di CAMM, concludendo che una misura del livello di sicurezza dei fornitori basata su una scala da 1 a 5 potrebbe portare a un eccesso di semplificazione e dovrebbe, quindi, essere valutata accuratamente.