Indubbiamente quest'anno il cloud computing è destinato ad assumere un'importanza più incisiva nell'ambiente enterprise. I Cio si sono convinti che, se implementato correttamente, il cloud computing può migliorare sensibilmente l'agilità e la produttività dell'azienda, riducendo allo stesso tempo i costi dell'infrastruttura. Nell'arco dei prossimi uno o due anni le società, sia grandi che piccole, trasferiranno parti importanti delle loro attività operative in ambiente cloud.
Eppure, anche se ogni azienda vuole prendere parte all'operazione cloud, non tutte otterranno i risultati che desiderano. Di seguito i cinque principali errori da evitare:
1° – Non scegliere il modello di cloud giusto
Le aziende che decidono di passare al cloud possono scegliere tra cloud pubblici, cloud privati, cloud di community o cloud ibridi.
- Cloud pubblico: è di proprietà di un provider di servizi cloud ed è reso disponibile al pubblico su base multi-tenant e pay-as-you-use.
- Cloud privato: è di proprietà e implementato da un'organizzazione per uso interno come unico tenant.
- Cloud di community: è condiviso collettivamente da un insieme di tenant, spesso appartenenti allo stesso settore.
- Cloud ibrido: include i precedenti modelli di implementazione del cloud descritti e consente di trasferire facilmente applicazioni e dati da un cloud a un altro.
Ogni tipo di implementazione cloud offre vantaggi specifici.
I fattori da considerare prima dell'adozione sono la criticità per l'attività aziendale delle applicazioni che l'azienda prevede di trasferire nel cloud, i problemi normativi, i livelli di servizio richiesti, i modelli di utilizzo per i carichi di lavoro e quale dovrà essere il livello di integrazione dell'applicazione con le altre funzionalità aziendali.
2° – Non integrare la sicurezza del cloud nelle policy di sicurezza dell'azienda
Le politiche di sicurezza dell’ambiente cloud e dell'azienda devono essere integrate. Anziché creare una nuova policy di sicurezza per il cloud, è necessario estendere quella esistente in modo da supportare questa piattaforma aggiuntiva. Per modificare la policy per il cloud, è necessario considerare fattori analoghi: dove sono archiviati i dati, come sono protetti, chi vi ha accesso, la conformità alle normative e i contratti di servizio (SlaA) da rispettare.
Se sviluppata correttamente, l'adozione del cloud computing può rappresentare un'opportunità per migliorare la politica e l'approccio di sicurezza in generale.
3° – Fare affidamento sulla sicurezza del provider di servizi basati su cloud
Evitare di presupporre che i dati siano automaticamente protetti perché si utilizza un provider di servizi. È necessario effettuare un'analisi approfondita della tecnologia e dei processi di sicurezza del provider e verificare in che modo viene implementata la sicurezza dei dati dei clienti all'interno dell'infrastruttura del provider. In particolare, sarà opportuno verificare:
- Trasportabilità di dati e applicazioni: il provider consente di esportare nel cloud le applicazioni, i dati e i processi esistenti? Si possono reimportare con la stessa facilità?
- Sicurezza fisica del data center: in che modo il provider di servizi protegge i propri data center fisici? Usa data center SAS 70 Type II e quale è il livello di formazione e competenza degli operatori del data center?
- Sicurezza di accesso e operazioni: in che modo il provider controlla l'accesso alle apparecchiature fisiche? Chi può accedere a tali apparecchiature e come vengono gestite?
- Sicurezza del data center virtuale: l'architettura del cloud è fondamentale per l'efficienza. Verificare in che modo è strutturata l'architettura dei singoli componenti, ad esempio i nodi di elaborazione, i nodi di rete e i nodi di archiviazione, e come sono integrati e protetti.
- Sicurezza di dati e applicazioni: per poter implementare le proprie politiche, la soluzione cloud deve consentire ai clienti di definire gruppi, ruoli con controllo di accesso granulare basato sui ruoli, criteri adeguati per le password e crittografia dei dati (sia in transito che archiviati).
4° – Presupporre di non essere più responsabili della sicurezza dei dati
Non pensare che l'outsourcing dei propri sistemi o applicazioni significhi rinunciare alla responsabilità per quanto riguarda la violazione dei dati. Alcune Pmi hanno questa idea sbagliata, ma è necessario comprendere che la propria azienda è ancora responsabile dell'integrità dei dati nei confronti di clienti e di altre parti interessate. In breve, è il Ceo che rischia di essere legalmente chiamato in causa, non il provider di servizi cloud.
5° – Non conoscere le leggi locali applicabili
I dati che risultano sicuri in un paese potrebbero non esserlo in un altro. In molti casi, tuttavia, gli utenti dei servizi cloud non sanno dove sono conservati i propri dati. Attualmente, in un processo di armonizzazione delle leggi riguardanti i dati degli stati membri, l'Unione Europea favorisce una forte protezione della privacy, mentre le leggi americane, come la US Patriot Act, conferiscono al governo e ad altre agenzie poteri praticamente illimitati per l'accesso ai dati appartenenti alle aziende.
È opportuno sapere sempre dove si trovano i propri dati. Se necessario, archiviarli in più luoghi. È consigliabile scegliere una giurisdizione in cui si potrà comunque avere accesso ai propri dati qualora il contratto con il provider di servizi cloud termini in modo imprevisto. Il provider di servizi dovrà inoltre essere in grado di far scegliere al cliente dove preferisce conservare i suoi dati.
Il concetto fondamentale è che l'adozione della tecnologia cloud deve essere accompagnata da procedure atte a mitigare i rischi e le aziende sono tenute a pianificare e ad attenersi a queste procedure fin dall'inizio, in modo da massimizzare gli investimenti effettuati in tecnologia cloud.