Il Cloud computing promette molti vantaggi, tra cui la riduzione dei costi e dei tempi di fermo IT, aumentando lo storage e le opportunità di mobilità di dipendenti e collaboratori. Il cloud fornisce anche una sorta di polizza di assicurazione contro una probabile violazione dei dati: il disaster recovery cloud-based e la business continuity, per esempio, possono aiutare le organizzazioni a recuperare rapidamente la situazione precedente un evento dirompente.
Ma ci sono rischi per la sicurezza legati al cloud computing che neutralizzano in parte questi benefici. Approcci basati sulla gestione dei rischi sono comuni nella maggior parte degli aspetti legati all’IT e nel cloud non dovrebbe essere diverso, ha dichiarato Eric Holmquist, direttore generale gestione del rischio di impresa di Accume Partners. “La co-locazione è un problema, perché dobbiamo accertarci di dove siano ubicati fisicamente i nostri dati e quali siano le loro interazioni rispetto a quelli di qualche altra organizzazione – sostiene -. I dati in questi contest sono più difficili da inventariare, sia fisicamente sia logicamente, per il fatto che potrebbero essere potenzialmente immagazzinati in una pluralità di posizioni diverse”.
Le organizzazioni, o almeno i loro dipartimenti IT, stanno prestando sempre più attenzione ai rischi legati alla sicurezza degli ambienti cloud: un sondaggio condotto sui partecipanti a una recente conferenza sul tema della sicurezza nel cloud ha rilevato che il 38% del campione prevede che la spesa per prodotti relativi alla sicurezza degli ambienti cloud sarà destinata ad aumentare nel corso del primo semestre del 2013, con la maggioranza (il 55% ) degli intervistati che riferisce che questo extra budget per l’acquisto di prodotti e servizi di sicurezza destinati agli ambienti cloud proverrà sicuramente dalla dotazione del reparto IT.
Per migliorare il ritorno sugli investimenti nelle tecnologie e nei servizi cloud, le organizzazioni dovrebbero prendere in considerazione il riutilizzo dei dati immagazzinati nella nuvola per altre applicazioni aziendali, sostiene Benjamin Woo, fondatore e amministratore delegato di Neuralytix. “La nuvola offre enormi potenzialità aggiuntive rispetto al backup e al recovery di tipo tradizionale – chiarisce -. Invece di utilizzare un formato altamente proprietario, è possibile eseguire il backup di interi file, directory e cartelle nel cloud, in modo che altre applicazioni possano accedervi per scopi diversi”.
Gli investimenti in sicurezza cloud saranno probabilmente soldi ben spesi. Poiché il concetto stesso di virtualizzazione si basa sull’uso multi-tenant della piattaforma, la nuvola crea la necessità di nuovi approcci alla gestione del rischio, dichiara Dave Shackleford, vice presidente senior della ricerca e Chief Technology Officer di IANS, società di consulenza specializzata in sicurezza delle informazioni. “L’utilizzo del cloud può essere una vera sfida per il rilevamento delle intrusioni, perché il traffico in molti casi non si allontana mai dalla piattaforma – sostiene Shackleford -. Nel caso di una macchina virtuale che parla con un’altra attraverso uno switch virtuale, i dati possono non venire riconosciuti sulla rete fisica virtuale. I sensori tradizionali per il rilevamento e la prevenzione delle intrusioni, quindi, in questi casi non sono efficaci”.
Sembra semplice, ma è importante fare molte ricerche preventive in fase di selezione e scelta di un fornitore di servizi cloud, mette in guardia Holmquist. Eventuali violazioni dei dati passati, questioni afferenti alla conformità o problemi legali dovrebbero “farvi drizzare le antenne”, sostiene. “Il fatto che un provider si rifiuti di fornire questa documentazione dovrebbe darvi da pensare”.
Gli intervistati hanno anche fornito una vasta gamma di risposte alla domanda relativa alle loro priorità in materia di sicurezza o alle spese che prevedono di sostenere nel primo semestre del 2013. Lo sviluppo di policy BYOD, la conformità alle normative di sicurezza e in generale la protezione di tutti i dati sono le voci che svettano in alto alla classifica.
Woo suggerisce alle organizzazioni di utilizzare le funzionalità e le caratteristiche tipiche degli ambienti cloud per compensare alcuni di questi problemi. Come avviene per il mobile-wireless: “Negli ambienti mobile ci sono un sacco di opportunità per i dispositivi wireless di accedere ai dati direttamente dalla nuvola, senza che sia necessario tenere tutto in locale – conclude Woo -. Mantenere in locale i dati sul dispositivo potrebbe essere veramente rischioso”.