Il cloud computing sta trasformando continuamente il modo in cui le aziende memorizzano, utilizzano e condividono dati, carichi di lavoro e software. L’utilizzo delle soluzioni cloud in tutto il mondo sta aumentando e se il tema della sicurezza non viene adeguatamente preso in considerazione, dati riservati o sensibili potrebbero essere a rischio.
Quando si utilizzano delle soluzioni cloud computing, di fatto si trasferiscono i propri dati, precedentemente memorizzati nei computer locali o nei dati center di proprietà, verso sistemi remoti di proprietà di un fornitore terzo del servizio.
Il controllo dei dati nelle soluzioni cloud
Affidando i propri dati ai sistemi di un fornitore remoto, se ne perde il controllo diretto ed esclusivo. Di conseguenza, la riservatezza e la disponibilità delle informazioni memorizzate nelle infrastrutture cloud dipendono anche dai meccanismi di sicurezza adottati dal service provider, oltre che dalle policy di sicurezza della propria organizzazione.
Inoltre, le soluzioni cloud utilizzate potrebbero essere il risultato finale di una catena di trasformazione di servizi acquisiti presso altri service provider, diversi dal fornitore con il quale è stato stipulato il contratto di servizio. In tal caso, potrebbe essere più difficile conoscere esattamente chi, tra i vari gestori dei servizi intermedi, può accedere a determinati dati.
Non va dimenticato che quando si scelgono soluzioni cloud, molto spesso le infrastrutture informatiche risultano distribuite in più data center e località. La conservazione dei dati in luoghi geografici differenti ha però riflessi immediati sulla normativa applicabile in relazione alle disposizioni nazionali che disciplinano il trattamento, l’archiviazione e la sicurezza dei dati.
La responsabilità della sicurezza nelle soluzioni cloud
Il fornitore di soluzioni cloud, in base alla tipologia dei servizi offerti, si assume la responsabilità di preservare la riservatezza, l’integrità o la disponibilità dei dati, ma non è l’unico attore coinvolto.
Infatti, la sicurezza è una responsabilità sempre condivisa tra fornitore e utilizzatore di servizi cloud. La distribuzione delle responsabilità tra cliente e fornitore delle soluzioni cloud varia in funzione del modello di servizio scelto.
I servizi cloud vengono infatti erogati dal cloud provider secondo diversi modelli, che determinano la suddivisione delle responsabilità per gli aspetti di sicurezza tra cliente e fornitore del servizio.
Le responsabilità in tema di sicurezza coinvolgono sempre di meno il cliente e sempre di più il fornitore spostandosi dal modello IaaS (affitto di infrastrutture informatiche hardware) a quello PaaS (affitto di hardware e piattaforme software di base) e infine al modello SaaS (affitto di soluzioni software complete).
Se ci si approvvigiona di sole infrastrutture cloud (modello IaaS), ci si deve necessariamente occupare di molte più attività di sicurezza rispetto all’approvvigionamento di una soluzione software cloud completa (modello SaaS).
Tuttavia, una notevolissima parte delle responsabilità sulla sicurezza rimane sempre nelle mani dell’organizzazione del cliente e delle sue policy, in primis per la gestione delle credenziali e dei diritti di accesso.
Prevenire i rischi delle soluzioni cloud
Prima di migrare su soluzioni cloud i propri dati e le proprie applicazioni più importanti, bisognerebbe ragionevolmente accertare l’affidabilità del fornitore, valutando attentamente le misure di sicurezza adottate e la ripartizione delle responsabilità tra le parti.
Inoltre, è opportuno valutare le referenze e le garanzie offerta dal fornitore di soluzioni cloud riguardanti la confidenzialità dei dati, oltre che le misure adottate per garantire la continuità operativa a fronte di eventuali e imprevisti malfunzionamenti.
Tuttavia, l’attività più importante per mitigare il rischio delle soluzioni cloud è quella di formare adeguatamente il personale. Qualunque sia il modello di soluzione cloud di cui si sceglie di avvalersi, la sicurezza non può prescindere dalla consapevolezza che il fattore umano gioca sempre un ruolo determinante per la protezione delle applicazioni informatiche.
Non solo bisogna proteggersi da comportamenti sleali o fraudolenti, ma anche da errori materiali causati da leggerezza o negligenza, che potrebbero consentire accessi illeciti alle informazioni riservate o perdita di dati. Personale formato e policy adeguate aiutano a ridurre tali rischi.