Con l’uso dei servizi cloud cresce l’importanza di adottare nuove strategie di sicurezza, stante il fatto che gli approcci fin qui usati in ambienti on premise stanno perdendo di efficacia. La filosofia del “controllo tutto” non si applica al cloud: occorre proteggere i dati sensibili a prescindere dalla collocazione e dal modello di hosting. Questo senza ostacolare flessibilità di scelta del provider o entrare in conflitto con tecnologie usate. Cosa più importante: la security non deve ostacolare l’adozione del cloud nell’impresa.
Un modo per affrontare il tema è l’approccio che Forrester ha definito Security Strategy Life Cycle che non consiste nell’adozione di alcuna infrastruttura specifica, ma in un ciclo continuo di revisione e miglioramento di cinque fondamentali passi.
I 5 passi per la sicurezza nel cloud – Fonte: Forrester
- Raccolta degli elementi che giustificano l’investimento nella sicurezza in cloud. Questo è necessario perché la security “non si vede” se non quando non funziona, ci sono non conformità con le leggi vigenti o perdite di dati sensibili. L’investimento si sposa con le necessità aziendali di migliorare il monitoraggio dei flussi di dati per ottenere vantaggi nell’ottimizzazione e nel rapporto con fornitori dei servizi.
- Identificazione dei team aziendali per i quali l’uso del cloud è importante e la sicurezza più critica. In questa fase si identificheranno i requisiti, le soluzioni di sicurezza che non aggiungano processi onerosi per gli utenti, che permettano alle persone che si occupano di compliance e auditing di avere garanzie sul rispetto dei requisiti di legge, quindi report sugli attacchi informatici o perdite di dati. Altri fattori d’interesse per le line of business possono essere l’aggiunta di servizi per il single-sign-on che semplificano, oltre a rendere più sicuro, l’accesso a dati e applicazioni aziendali. Alcuni servizi di aggiornamento e sincronizzazione, utili ai fini della security, possono essere apprezzati anche dai team che sviluppano e distribuiscono il software.
- Governo del processo di cloud security. Dopo aver identificato gli utenti chiave, documentato i requisiti, serve verificare che la cloud security consenta di dare accesso ai servizi cloud (come applicazioni SaaS o infrastrutture IaaS) da qualsiasi dispositivo. Vanno compresi in molti casi dispositivi mobili di proprietà dei dipendenti, sia per chi si connette dall’interno sia per chi lo fa dall’esterno della rete aziendale. Questo può necessitare l’introduzione di specifiche policy per regolamentare cosa i dipendenti possono o non possono fare. Occorre mappare e classificare i dati aziendali per capire quali file hanno la necessità di essere crittografati e quali, anche in base al contesto, non sono critici. Altro aspetto importante della data-governance è limitare la condivisione dei dati nel cloud storage pubblico (per esempio Dropbox). Se la gestione è lasciata ai singoli dipendenti ci sono rischi di perdita di dati. Serve inoltre poter aggiornare rapidamente le policy aziendali che riguardano la cloud security in funzione dei cambiamenti che possono riguardare le conformità di legge nei vari settori d’industria. È inoltre importante sapere dove i cloud provider mettono i dati, per rispondere, per esempio, ai requisiti GDPR che impongono restrizioni fuori dall’area EU. Per alcuni enti, in particolare la pubblica amministrazione, possono essere ancor più restrittivi. Occorre disporre di un sistema di controllo per scoprire le violazioni delle policy da parte di utenti e processi e bloccare prima possibile le potenziali fughe di dati.
- Rilevazione della situazione esistente per ciò che riguarda la sicurezza in cloud e l’esame delle differenze rispetto a quanto occorre. Le cose dipendono dalla strategia di cloud utilizzata: SaaS o IaaS. In generale serve conoscere come tecnicamente gli utenti accedono alle applicazioni e come integrano e scambiano dati. Occorre capire come è gestita la directory utenti e come vengono sincronizzati o copiati gli attributi dagli altri sistemi al cloud. Occorre valutare come la security cambia il modo d’interagire degli utenti con le applicazioni. L’aggiunta dei processi di crittografia, per esempio, comporta un degrado del 5-10% nelle prestazioni, occorre quindi fare test per valutare gli effetti sui carichi di lavoro. È inoltre importante verificare che la security non blocchi le operazioni di ETL (estrazione trasformazione e caricamento dati). Altri aspetti importanti possono essere la capacità di ottenere log e altre tracce in caso di violazioni; se il cloud provider ha proprie soluzioni di sicurezza gratuite o a pagamento. Nel caso di cloud SaaS occorre sapere se ci sono dati sensibili e se gli scambi avvengono in forma crittografata o tokenizzata; se le chiavi crittografiche sono memorizzate on premise o in un cloud separato. Nel caso del trasferimento di dati critici al di fuori delle policy e termini di compliance devono essere considerate azioni di blocco e quarantena per i dati. Se un utente muove quantità inusuali di dati potrebbe essere il segnale di una pericolosa breccia.
- Creazione di una strategia efficace che ottenga il supporto del management. È importante riuscire a motivare le azioni da intraprendere sulla base delle raccomandazioni e delle componenti di security osservate e stilare un piano di implementazione. Per questo occorre definire le priorità, le relazioni tra situazioni e azioni da intraprendere, oltre a un piano temporale di attività che copra un periodo di due o tre anni. È importante infine verificare i tempi di attuazione e riportare periodicamente ai committenti i progressi ottenuti.