I responsabili della sicurezza informatica (CSO, Chief Security Officer) hanno un ruolo fondamentale per far progredire le loro organizzazioni, siano esse pubbliche o private, verso gli ambienti di cloud computing. A sostenerlo è l’organismo di certificazione professionale (ISC) 2 (International Information Systems Security Certification Consortium).
La transizione è inevitabile, in virtù dei costi più bassi e della maggiore efficienza offerte dal cloud computing, ma il ruolo del CISO è assicurare che il passaggio avvenga in modo sicuro, ha detto Marc Noble, direttore affari governativi di (ISC) 2.
“È molto più facile dire di no a qualcosa, ma la realtà economica spinge le organizzazioni verso il cloud e i CISO devono assicurare alle loro organizzazioni di riuscire a operare in modo sicuro all’interno di questo ambiente”, ha detto.
Il CSO dovrebbe essere parte integrante della linea di business e questo è un primo esempio di come queste figure professionali possano essere dei veri e propri business enabler, sostiene Noble, che è anche co-presidente dell’(ISC) 2.
Con un’adeguata due diligence, il CSO può assicurare che, traghettando i sistemi informativi verso il cloud, le loro organizzazioni potranno beneficiare di un livello molto più elevato di sicurezza rispetto a prima. “Le aziende hanno vissuto per molto tempo un falso senso di sicurezza, nella convinzione che tutti i loro dati erano al sicuro dietro un firewall mentre, in realtà, i cyber criminali sono stati in grado di penetrare tali difese con relativa facilità per anni”, ha detto.
La “riservatezza” nella nuvola
Noble sostiene che un approccio del tipo step-by-step è il migliore, in particolare quando vi sia la necessità di elevata riservatezza dei dati. “Le organizzazioni dovrebbero iniziare con sistemi come la posta elettronica, che trattano i dati riservati in possesso di una società per acquisire familiarità con il cloud computing e la conoscenza di come funziona il tutto, nell’attesa di fare il salto di qualità”.
Noble sostiene che il punto di svolta per trarre il massimo beneficio dalla nuvola arriva una volta che le organizzazioni si sentono abbastanza “a loro agio” da spostare addirittura i loro sistemi finanziari sul cloud. Per la Pubblica Amministrazione, secondo l’esperto, potrebbe essere utile creare cloud privati interni che tutte le agenzie governative possano utilizzare. Questo le aiuterà a imparare che il cloud computing può essere fatto in modo abbastanza sicuro e permetterà di sperimentare direttamente gli incrementi di efficienza che derivano dalla condivisione di un unico repository di dati, in sostituzione dell’invio di copie multiple dei dati dall’uno all’altro ufficio pubblico ogni volta in cui è necessario.
La cifratura
Tuttavia, ha aggiunto Noble, la crittografia dovrebbe andare di pari passo con il cloud computing, in particolare quando al centro dei sistemi informativi spostati sulla nuvola ci siano dati riservati o sensibili.
Anche se il cloud computing consentirà alla maggior parte delle organizzazioni di raggiungere un livello di sicurezza più elevato di quanto non fossero in grado di ottenere da soli, sostiene l’esperto, nessuno può assicurare che questi ambienti siano impenetrabili. “È solo una questione di tempo prima che i criminali informatici trovino un punto debole da poter sfruttare, ma tramite la cifratura di tutti i dati sensibili nel cloud, le organizzazioni potranno assicurarsi un maggior comfort nella gestione dei record, unito a una miglior protezione degli stessi”, si dice convinto. “Anche se i dati sono in qualche modo violati, la cifratura forte implica che ci vorrà troppo tempo per decifrarli e renderli utilizzabili e questo potrebbe rivelarsi un ottimo deterrente. Allo stesso tempo, non tutti i dati richiedono la crittografia, quindi è importante per le organizzazioni conoscere il valore di tutti i dati immagazzinati nel cloud e predisporre le giuste difese, in termini di efficacia e sostenibilità economica, di conseguenza”.
Convogliare i rischi del cloud sulla piattaforma di gestione
Anche in questo caso, il ruolo del CSO è fondamentale, in quanto è la figura deputata a lavorare con i proprietari dei sistemi di gestione per assicurarsi di comprendere i rischi connessi, avverte l’esperto, perché è la gestione, in definitiva, che deve avere l’ultima parola su quale livello di sicurezza sia sufficiente. “In qualità business partner, il CISO deve spiegare i rischi e sottoporre a esame i sistemi di gestione per capire se le difese predisposte sono adeguate, cosa questa che è una parte vitale della governance IT “, precisa.
Parlare di cloud computing significa anche avere ben presente che il management sarà ora costretto a prendere decisioni in merito a quali controlli debbano essere messi in atto in materia di protezione dei dati. “I top manager non possono più evitare di affrontare il problema semplicemente mettendo tutto dietro un firewall e sperando per il meglio”, conclude.
Il passaggio al cloud contribuirà anche a definire in modo più chiaro i ruoli all’interno delle organizzazioni. Sapere esattamente come, all’interno dell’organigramma, tutti interagiscono con i dati contribuirà a migliorare i controlli sugli accessi e a garantire che a tutti venga assegnato al livello di sicurezza adeguato.