Indubbiamente quest'anno il Cloud computing è destinato ad
assumere un'importanza più incisiva nell'ambiente
enterprise.
assumere un'importanza più incisiva nell'ambiente
enterprise.
I CIO si sono convinti che, se implementato
correttamente, il Cloud computing può migliorare sensibilmente
l'agilità e la produttività dell'azienda,
riducendo allo stesso tempo i costi dell'infrastruttura.
correttamente, il Cloud computing può migliorare sensibilmente
l'agilità e la produttività dell'azienda,
riducendo allo stesso tempo i costi dell'infrastruttura.
Nell'arco dei prossimi uno o due anni le società, sia grandi
che piccole, trasferiranno parti importanti delle loro attività
operative in ambiente Cloud.
che piccole, trasferiranno parti importanti delle loro attività
operative in ambiente Cloud.
Eppure, anche se ogni azienda vuole prendere parte
all'operazione Cloud, non tutte otterranno i risultati che
desiderano. Di seguito i cinque principali errori da
evitare:
all'operazione Cloud, non tutte otterranno i risultati che
desiderano. Di seguito i cinque principali errori da
evitare:
1.
Non scegliere il modello di Cloud giusto
Non scegliere il modello di Cloud giusto
Le aziende che decidono di passare al Cloud possono scegliere tra
Cloud pubblici, Cloud privati, Cloud di community o Cloud ibridi.
Cloud pubblici, Cloud privati, Cloud di community o Cloud ibridi.
-
Cloud pubblico: è di proprietà di un
provider di servizi Cloud ed è reso disponibile al pubblico su
base multi-tenant (ovvero un’architettura dove una
singola istanza dell’applicazione serve più clienti) e
pay-as-you-use. -
Cloud privato: è di proprietà e implementato
da un'organizzazione per uso interno come unico tenant. -
Cloud di community: è condiviso
collettivamente da un insieme di tenant, spesso appartenenti
allo stesso settore. -
Cloud ibrido: include i precedenti modelli di
implementazione del Cloud descritti e consente di trasferire
facilmente applicazioni e dati da un Cloud a un altro.
Ogni tipo di implementazione Cloud offre vantaggi specifici.
I fattori da considerare prima dell'adozione sono la
criticità per l'attività aziendale delle applicazioni che
l'azienda prevede di trasferire nel Cloud, i problemi
normativi, i livelli di servizio richiesti, i modelli di utilizzo
per i carichi di lavoro e quale dovrà essere il livello di
integrazione dell'applicazione con le altre funzionalità
aziendali.
criticità per l'attività aziendale delle applicazioni che
l'azienda prevede di trasferire nel Cloud, i problemi
normativi, i livelli di servizio richiesti, i modelli di utilizzo
per i carichi di lavoro e quale dovrà essere il livello di
integrazione dell'applicazione con le altre funzionalità
aziendali.
2.
Non integrare la sicurezza del Cloud nelle policy di
sicurezza dell'azienda
Non integrare la sicurezza del Cloud nelle policy di
sicurezza dell'azienda
Le politiche di sicurezza dell’ambiente Cloud e
dell'azienda devono essere integrate. Anziché creare una
nuova policy di sicurezza per il Cloud, è necessario estendere
quella esistente in modo da supportare questa piattaforma
aggiuntiva.
Per modificare la policy per il Cloud, è necessario considerare
fattori analoghi: dove sono archiviati i dati, come sono protetti
i dati, chi ha accesso ai dati, la conformità alle normative e i
contratti di servizio (SLA) da rispettare.
fattori analoghi: dove sono archiviati i dati, come sono protetti
i dati, chi ha accesso ai dati, la conformità alle normative e i
contratti di servizio (SLA) da rispettare.
Se sviluppata correttamente, l'adozione del Cloud
computing può rappresentare un'opportunità per migliorare
la politica e l'approccio di sicurezza in generale.
computing può rappresentare un'opportunità per migliorare
la politica e l'approccio di sicurezza in generale.
3.
Fare affidamento sulla sicurezza del provider di servizi
basati su Cloud
Fare affidamento sulla sicurezza del provider di servizi
basati su Cloud
Evitare di presupporre che i dati siano automaticamente protetti
perché si utilizza un provider di servizi. È necessario
effettuare un'analisi approfondita della tecnologia e dei
processi di sicurezza del provider e verificare in che modo viene
implementata la sicurezza dei dati dei clienti all'interno
dell'infrastruttura del provider. In particolare, sarà
opportuno verificare:
perché si utilizza un provider di servizi. È necessario
effettuare un'analisi approfondita della tecnologia e dei
processi di sicurezza del provider e verificare in che modo viene
implementata la sicurezza dei dati dei clienti all'interno
dell'infrastruttura del provider. In particolare, sarà
opportuno verificare:
-
Trasportabilità di dati e applicazioni: il provider
consente di esportare nel Cloud le applicazioni, i dati e i
processi esistenti? Si possono reimportare con la stessa
facilità?
-
Sicurezza fisica del data center: in che modo il
provider di servizi protegge i propri data center fisici? Usa
data center SAS 70 Type II e quale è il livello di formazione
e competenze degli operatori del data center?
-
Sicurezza di accesso e operazioni: in che modo il
provider controlla l'accesso alle apparecchiature fisiche?
Chi può accedere a tali apparecchiature e come vengono
gestite?
-
Sicurezza del data center virtuale: l'architettura
del Cloud è fondamentale per l'efficienza. Verificare in
che modo è strutturata l'architettura dei singoli
componenti, ad esempio i nodi di elaborazione, i nodi di rete e
i nodi di archiviazione, e come sono integrati e protetti.
-
Sicurezza di dati e applicazioni: per poter
implementare le proprie politiche, la soluzione Cloud deve
consentire ai clienti di definire gruppi, ruoli con controllo
di accesso granulare basato sui ruoli, criteri adeguati per le
password e crittografia dei dati (sia in transito che
archiviati).
4.
Ritenere di non essere più responsabili della sicurezza
dei dati
Ritenere di non essere più responsabili della sicurezza
dei dati
Non pensare che l'outsourcing dei propri sistemi o
applicazioni significhi rinunciare alla responsabilità per
quanto riguarda la violazione dei dati. Alcune PMI hanno questa
idea sbagliata, ma è necessario comprendere che la propria
azienda è ancora responsabile dell'integrità dei dati nei
confronti di clienti e di altre parti interessate. In breve, è
il CEO che rischia di essere legalmente chiamato in causa, non il
provider di servizi Cloud.
applicazioni significhi rinunciare alla responsabilità per
quanto riguarda la violazione dei dati. Alcune PMI hanno questa
idea sbagliata, ma è necessario comprendere che la propria
azienda è ancora responsabile dell'integrità dei dati nei
confronti di clienti e di altre parti interessate. In breve, è
il CEO che rischia di essere legalmente chiamato in causa, non il
provider di servizi Cloud.
5.
Non conoscere le leggi locali
Non conoscere le leggi locali
I dati che risultano sicuri in un paese potrebbero non esserlo in
un altro. In molti casi, tuttavia, gli utenti dei servizi Cloud
non sanno dove sono conservati i propri dati.
un altro. In molti casi, tuttavia, gli utenti dei servizi Cloud
non sanno dove sono conservati i propri dati.
Attualmente, in un processo di armonizzazione delle leggi
riguardanti i dati degli stati membri, l'Unione Europea
favorisce una forte protezione della privacy, mentre le leggi
americane, come la US Patriot Act, conferiscono al governo e ad
altre agenzie poteri praticamente illimitati per l'accesso ai
dati delle aziende.
riguardanti i dati degli stati membri, l'Unione Europea
favorisce una forte protezione della privacy, mentre le leggi
americane, come la US Patriot Act, conferiscono al governo e ad
altre agenzie poteri praticamente illimitati per l'accesso ai
dati delle aziende.
Alcuni consigli: è opportuno sapere sempre dove si trovano i
propri dati (se necessario, archiviarli in più luoghi); deve
essere garantita la possibilità di poter accedere ai propri
dati; il provider di servizi dovrà inoltre essere in grado di
far scegliere al cliente dove preferisce conservare i suoi dati.
propri dati (se necessario, archiviarli in più luoghi); deve
essere garantita la possibilità di poter accedere ai propri
dati; il provider di servizi dovrà inoltre essere in grado di
far scegliere al cliente dove preferisce conservare i suoi dati.
Il concetto fondamentale è che l'adozione della
tecnologia Cloud deve essere accompagnata da procedure atte a
mitigare i rischi e le aziende sono tenute a pianificare
e ad attenersi a queste procedure fin dall'inizio, in modo da
massimizzare gli investimenti effettuati in tecnologia Cloud.
tecnologia Cloud deve essere accompagnata da procedure atte a
mitigare i rischi e le aziende sono tenute a pianificare
e ad attenersi a queste procedure fin dall'inizio, in modo da
massimizzare gli investimenti effettuati in tecnologia Cloud.
