Una delle tipologie di servizi cloud che mostrano il più rapido tasso di crescita è senz’altro quello dello storage. E questo è già a prima vista ovvio se si considera che, anche se in un mondo sempre più digitalizzato anche le applicazioni aumentano, i dati prodotti, aggregati e analizzati da questi programmi crescono in modo ancora più esponenziale. Basti pensare alle immagini diagnostiche che finiscono nelle applicazioni di electronic health record, ai contratti archiviati in un servizio di assicurazioni online, agli scontrini di vendita che fluiscono nelle applicazioni per la gestione delle carte fedeltà. L’esplosione dei dati è favorita poi anche da due macrofenomeni emergenti: il mobile computing e i Big data. Entrambi prevedono la memorizzazione di sempre più ingenti moli di dati in ogni momento del giorno e in ogni formato.
Quando si parla di cloud storage è bene distinguere innanzitutto fra servizi che vengono acceduti direttamente dall’utente, e che quindi devono prevedere già funzionalità avanzate usufruibili attraverso browser o app, e servizi più ‘di base’ integrati, tramite Application programming interface (Api), a soluzioni custom installate on-premise o su cloud pubbliche. Anche se le tecnologie di sicurezza per la protezione dei dati sono le stesse, possono cambiare i modi e i luoghi in cui esse sono implementate e la maniera in cui sono gestite dallo staff di security dell’azienda.
In entrambi i casi, comunque, è opportuno iniziare con un’attività di analisi e classificazione dei dati e quindi prevedere politiche e strumenti di identification a access management (Iam), nonché l’utilizzo di sistemi di crittografia e di data loss prevention (Dlp). Il tutto deve essere sottoposto a procedure di monitoring, auditing e compliance management.
Rivolgersi agli esperti è meglio
Nei casi in cui si ricorra al cloud storage, le complessità aggiuntive sono legate soprattutto alla compliance a normative che prevedono regole circa la localizzazione geografica dello storage dei dati e l’utilizzo di protocolli di trasporto sicuri, e non proprietari, come Ssl/Tls. Considerata la rilevanza della questione relativa alla localizzazione dei dati, è comunque sempre consigliabile scegliere partner che offrono agli utenti una certa scelta di location. Ovviamente questo aspetto diventa più complesso da gestire qualora il service provider scelto dall’utente si avvalga, a sua volta, di servizi infrastrutturali di terze parti. Un’altra tematica cruciale è la predisposizione di contratti che indichino con chiarezza le misure di sicurezza adottate, le procedure di escalation in caso di incidente, gli eventuali audit e le ispezioni on site. Per quanto concerne quest’area, la maggior parte degli esperti suggerisce agli utenti di farsi affiancare da terze parti in questioni legali e di compliance.
La collaborazione di team di esperti esterni con quelli interni è auspicabile anche per quanto riguarda gli aspetti tecnologici. Non necessariamente tutti gli skill di questo tipo possono e devono essere presenti in un’azienda. Diamo una rapida occhiata ad alcune delle tecnologie più importanti da considerare.
Gli analisti sono d’accordo nel considerare lo storage dei dati come uno degli obiettivi privilegiati degli attacchi Advanced persistent threat (Apt), che ‘pazientemente’ operano sotto traccia e con svariate metodologie per riuscire a sottrarre informazioni di grande valore o sabotare applicazioni. Gli attacchi Apt possono avvalersi sia di malware sia di agenti umani, interni o esterni all’azienda, che, volontariamente o involontariamente, finiscono per favorire l’accesso ad applicazioni e dati riservati. Siccome l’utente resta sempre – legalmente ma anche eticamente e per ragioni di immagine e business – responsabile della protezione dei dati, si raccomanda di proteggere sempre i dati destinati all’upload con sistemi di encryption allo stato dell’arte.
Le chiavi crittografiche non dovrebbero essere nella disponibilità del cloud service provider. Questa misura evita anche i rischi legati all’utilizzo di funzionalità di deduplica dei dati dal parte del provider, che ha interesse a ridurre i consumi di capacità disco. Queste funzionalità tendono a ridurre a un’unica copia i file o i blocchi di dati identici, anche se sono stati utenti diversi a caricarli. In questo modo diventa più facile, per un abile hacker, trovare il modo per accedere a un file o a un blocco non crittografato fingendo di essere il legittimo proprietario. Va tenuto presente, comunque, che spesso sono gli stessi provider a fornire software per la crittografia lato utente: in questo caso è bene verificare che questi applicativi siano sicuri e che non inviino chiavi e copie non protette dei dati a soggetti non autorizzati. O che aprano brecce nei propri hard disk.
Infine, nelle aziende in cui è diffuso l’utilizzo, da parte degli utenti, di servizi cloud storage avanzati come DropBox, Google Drive o Apple iCloud, è opportuno che i responsabili di sicurezza delle aziende predispongano policy specifiche per la loro adozione e strumenti di controllo dell’applicazione di queste procedure. Il tutto per non inibire l’uso di tecnologie che possono favorire un incremento della produttività e della competitività delle aziende, ma se usate fuori controllo possono mettere a rischio le informazioni e le conoscenze che costituiscono oggi uno dei beni primari dell’impresa.
