Cloud security: rischi e opportunità di un modello da cui proteggersi e che può proteggere

Scegliere il cloud computing per proteggere i propri dati e informazioni? Le tecnologie e la maturità dei servizi lo consentono, ma le aziende sono pronte? I freni sembrano essere ancora molti e riguardano la riservatezza e protezione dei dati, la tipologia di applicazioni core business, complesse e personalizzate, la difficoltà di contrattualizzare Sla appropriati. Eppure, la percezione è positiva: il cloud è un fenomeno inarrestabile e dalle enormi opportunità; bisogna però saper ‘governare’ il cambiamento, anche con l’aiuto dei vendor. Ne abbiamo discusso nel corso di un recente Executive Dinner che ZeroUno ha organizzato in collaborazione con Symantec.

Pubblicato il 17 Dic 2012

Una delle priorità sempre crescenti dei dipartimenti It è rendere sicuri i dati e le informazioni che transitano in azienda attraverso i sistemi e le infrastrutture tecnologiche; oggi la maturità delle tecnologie erogate ‘in the cloud’ è tale da garantire livelli di affidabilità e sicurezza addirittura superiori rispetto a quelli che si possono avere nei propri data center, grazie a elevati standard e certificazioni internazionali nonché alla capacità di investimento e solidità tecnologica dei provider (un evento, questo, tuttavia da considerare con molta attenzione). Innegabile, però, che esistano ancora molte preoccupazioni e freni culturali circa le garanzie di affidabilità dei servizi, protezione dei dati, rispetto delle normative, ecc. La scelta di spostare il business nel cloud non ammette errori, perché le interruzioni avvengono anche nel cloud. Queste le considerazioni generali emerse nel corso di un recente Executive Dinner che ZeroUno ha organizzato in collaborazione con Symantec.

L’articolo continua alla pagina seguente

*BRPAGE*

Rossella Macinante, practice leader di NetConsulting

“Violazione delle policy di sicurezza, perdita dei dati e delle informazioni aziendali, riduzione dell’It security con impatti sui sistemi antivirus, antispam, ecc. e incremento dei costi di gestione sono solo alcuni dei rischi che le aziende sono consapevoli di correre con il passaggio ad una nuova modalità operativa di business spinta da due fenomeni tra loro convergenti: il cloud e la mobility – conferma Rossella Macinante, practice leader di NetConsulting -. Le aziende percepiscono quelli che sono sicuramente dei driver di sviluppo di un mercato (cloud e mobility, appunto) anche come possibili minacce se non opportunamente gestite”.

“Nonostante le preoccupazioni, le principali aree di investimento Ict delle aziende nel 2012 hanno interessato ambiti quali la mobility, i servizi cloud, la collaboration e il social networking – illustra Macinante -. Da segnalare, tuttavia, la particolare attenzione alla sicurezza che rimane uno degli ambiti di investimento principale, segno che, appunto, le esigenze di security e protezione dei dati, continuità del business, esigenze di backup e disaster recovery crescono al crescere delle minacce, da un lato, ma anche delle ‘sfide’ derivanti dai nuovi trend”.

“Esigenze e criticità – commenta Stefano Uberti Foppa, direttore di ZeroUno – che crescono anche in virtù delle nuove modalità operative delle aziende: i lavoratori sono sempre più mobili; già oggi, in Italia, sono quasi 8 milioni e accedono ai sistemi aziendali dai propri dispositivi, non solo aziendali ma anche personali. L’utilizzo delle applicazioni in mobilità nel 2013 è destinato a crescere, dicono gli analisti; a questi cambiamenti, in atto e inarrestabili, che le aziende affrontano per rispondere meglio ad una complessità del mercato ormai globale fa eco la maggior consapevolezza delle imprese circa le nuove tipologie di rischio e la necessità di investimenti in ambito security con un approccio diverso dal passato”.

E proprio perché la mobility è ‘inarrestabile’ che si parla ormai di convergenza tra cloud e mobile: se crescono gli utenti che accedono alle applicazioni e ai servizi aziendali da un dispositivo mobile, cresce l’esigenza di servizi sempre disponibili ‘adatti’ ad essere fruiti, in sicurezza, da smartphone, tablet, ultrabook o thin client. “Uno scenario che ‘costringe’ le aziende a ‘rivedere’ la propria roadmap di sicurezza per ridefinire le policy di security in base ad un nuovo contesto (cloud, mobile, social), mettere in sicurezza dati e applicazioni nel cloud, gestire l’accesso sicuro ai dati, gestire i device tramite cui si accede ai servizi It e le applicazioni in remoto”, spiega Macinante.

Antonio Forzieri, practice manager Technology Sales Organization di Symantec Italia

“Analizzando solo gli aspetti di sicurezza e gestione – interviene Antonio Forzieri, practice manager Technology Sales Organization di Symantec Italia – sono molti i tasselli da prendere in considerazione rispetto alle criticità che emergono dalla sovrapposizione/convergenza tra mobile e cloud, tra i quali: user e application access management; application e data protection; device management; threat protection (soprattutto per sistemi operativi per mobile, come Android, oggi molto ‘attaccato’ da malware); secure file sharing (è innegabile che la collaboration e lo scambio di fine, documenti, informazioni, dati stia crescendo vertiginosamente proprio grazie alla diffusione dei device mobili)”.

“Innegabile però – aggiunge Forzieri – che lo stesso modello Saas (Software as a service), per il quale è opportuno ‘mettere in campo’ nuove strategie di security, rappresenti complementarmente un’opportunità per accedere anche a soluzioni di sicurezza riducendo gli investimenti al solo costo del servizio fruito”.

Aiuto, dove risiede il mio dato?

Sebbene però il cloud rappresenti una grandissima opportunità, riconosciuta da molti dei Cio e degli It manager riuniti intorno al tavolo e più volte ribadita nel corso del dibattito, anche per accedere a soluzioni di sicurezza, restano ancora molto ‘vive’ le preoccupazioni sulla protezione dei dati, in particolare sulla loro dislocazione geografica.

“Il problema del trattamento dei dati riservati e sensibili e della gestione di tale riservatezza rappresenta ancora uno degli anelli deboli del cloud che manifesta criticità anche nell’ambito dell’e-mail che, benché non rappresenti un’applicazione core business, contiene informazioni riservate e sensibili per quali è necessaria la massima garanzia di protezione e sicurezza. Non solo: le normative sono spesso poco chiare o addirittura ‘miopi’, che impongono restrizioni eccessive, inadeguate e anacroniste rispetto all’evoluzione tecnologica in atto (che non aspetta certo i tempi legislativi)”, dice per esempio Pablito Rosa, responsabile Sicurezza e Compliance Ict di Icbpi (Istituto Centrale delle Banche Popolari Italiane). “Nonostante ciò credo che il cloud rappresenti una grandissima opportunità, soprattutto come ‘strumento’ a garanzia della continuità di business; il cloud è un modello da perseguire perché aumenta la resilienza delle infrastrutture e quindi è in grado di offrire maggiori garanzie di business continuity, oggi esigenza primaria per tutte le aziende che devono competere su un mercato complesso e dinamico”.

A testimonianza del ‘blocco normativo’, Lorenzo Brambilla, Ict Manager di Isagro, racconta come, nel caso della sua azienda, esista un “problema concreto in India, paese che vieta espressamente di ‘portare’ fuori dai confini nazionali qualsiasi dato”. “Con una normativa simile – aggiunge Brambilla – non posso pensare ad alcun tipo di cloud. Già centralizzare tutto in Italia sarebbe un problema”.

“L’incertezza su dove risieda fisicamente il dato aziendale quando si usufruisce di servizi di public cloud è una delle problematiche maggiormente sentite – conferma Forzieri -. Le leggi vigenti in Italia, comunque, tengono conto della Comunità Europea sia come bacino geografico territoriale entro cui ‘depositare’ i dati in cloud sia come regolamentazione normativa comunitaria di riferimento”.

“I vendor come noi stanno investendo moltissimo per aumentare le opportunità di accesso al cloud da parte delle imprese ma, al momento, la domanda non è ancora sufficientemente adeguata all’offerta e, quindi, risulta difficile giustificare un investimento per la costruzione di un data center abilitato al cloud in Italia”, spiega Costantino Landi, Business Development manager, Italy Symantec.cloud. “Ad ogni modo stiamo lavorando, anche con la Pubblica Amministrazione Italiana, per identificare un framework normativo in grado di accelerare e rendere più ‘confidente’ il passaggio al cloud”.

Alcune aziende preferiscono approcciare il cloud con un modello di tipo private, come Eni. Giuseppe Givralli, Information & Communication Technology Upstream della società spiega che tale scelta “è giustificata dal progetto di in-sourcing che l’organizzazione sta compiendo ormai da diverso tempo e dal fatto che il complesso parco applicativo di 550 applicazioni con interconnessioni multiple, rende necessario un intervento prioritario di razionalizzazione e consolidamento. Non solo, benché solo alcune delle nostre applicazioni si possano considerare mission critical, ce ne sono alcune, come per esempio la Posta elettronica, in cui transitano informazioni estremamente confidenziali con dati riservati e critici per l’azienda. Non riteniamo quindi il pubblic cloud per ora, un modello adatto a noi, perlomeno non per le applicazioni esistenti (se non per pochississime eccezioni)”.

Le applicazioni core business ‘rimangono in casa’

Quello delle applicazioni core business è un tema che ha suscitato un vivo dibattito. Gianluca Storia, Project leader di Creditech, ha evidenziato “le enormi difficoltà di ‘migrazione’ al modello di public cloud che un’azienda come la sua potrebbe incontrare, dato che la maggior parte del parco applicativo su cui poggia il core business aziendale è rappresentato da soluzioni customizzate, sviluppate in house da un team interno”.
Stessa visione da parte di Lorenzo Anzola, Corporate It director di Mapei: “Il più grande freno per un’azienda manifatturiera viene dal fatto che le architetture applicative sono molto complesse, con soluzioni personalizzate e interconnesse tra loro. Risulta molto complesso, se non improbabile, riuscire ad ‘isolarle’ per portarle in cloud; operazione che, per altro, richiederebbe una revisione totale di tutte le interfacce di integrazione. È impensabile. L’approccio al cloud, a livello applicativo, deve iniziare da applicazioni standardizzate, isolate e non core per il business dell’azienda”.

Approccio condiviso anche da A2A che, comunque, ha avviato un progetto di public cloud nell’ambito del Crm e del Saleforce Management. Gianfranco Cuscito, Cto e responsabile Staff della Direzione Ict della società evidenzia il fatto che “Il dato critico, su cui poggia il business dell’azienda, non è pronto per essere ‘portato fuori’ dai confini dell’organizzazione, ma questo non significa che non si riescano a trovare spazi di innovazione anche verso il modello cloud”. “In questo progetto abbiamo dovuto affrontare non poche criticità legate alla sicurezza delle informazioni, al governo dei dati, all’interconnessione tra applicazioni e l’integrazione dei servizi – spiega il collega Leonardo Altieri, Ict manager di A2A -. Ci siamo ‘addirittura’ dovuti costruire un vero e proprio framework decisionale per mitigare i rischi e identificare le scelte più opportune. Non è un passaggio semplice, tutt’altro. Critici anche gli aspetti contrattuali e le certificazioni; noi, per esempio, abbiamo insistito molto sulla possibilità di eseguire direttamente degli audit, non accontentandoci delle certificazioni forniteci ma ‘pretendendo’ un diritto di controllo diretto”.

Dai vendor, si vuole onestà, chiarezza e supporto ‘al cambiamento’

Un’altra criticità non trascurabile riguarda l’accesso alla banda larga, quindi il problema della connettività. “Il partner tra l’azienda utente e il mobile worker, che accede ai servizi in cloud, è un operatore Tlc. Cosa succede se la continuità del servizio è disattesa dalla società Telco e non dal cloud provider che mi offre il servizio e con il quale ho stipulato degli Sla?”, chiede Fabio Gatti, responsabile Quality Assurance di GE.SI.ass. Le utilities (energia elettrica e networking) risultano infatti un punto debole della catena necessaria a garantire i servizi cloud, soprattutto in Italia dove la copertura con connessioni a banda larga e in fibra ottica non è molto capillare. “Il problema, guardando alla connettività, non riguarda più la dislocazione fisica del data center dove faccio transitare i miei dati ma la garanzia di continuità del servizio che deve tener conto anche della rete – spiega Roberto Contessa, Ict manager di Fratelli Branca Distillerie -. A noi è capitato che, durante alcuni lavori sul manto stradale, quindi indipendenti da noi, tagliassero un cavo in fibra ottica, con un fermo di due ore. Fortunatamente non abbiamo avuto un fermo produttivo ma, se ciò si fosse verificato, il danno di business sarebbe stato ingente. Correlate al nuovo modello ‘cloud oriented’ esistono quindi una serie di problematiche che devono essere affrontate parallelamente: è inutile avere un provider cloud che mi garantisce il 100% della disponibilità di servizio se poi non ho un Telco provider capace di darmi la stessa affidabilità”.

“Sta comunque ai vendor It che propongono servizi in cloud l’obbligo di chiarezza – interviene Rosa -. Sarebbe auspicabile che, in tutta onestà, esplicitassero, anche in forma consulenziale, tutte le problematiche connesse al modello cloud, anche quelle non direttamente dipendenti da loro, come può esserlo, per esempio, la connettività”.

“L’importante è che sia chiara la condivisione degli obiettivi tra tutti gli attori coinvolti – interviene Italo Candusso, Ict manager di Bomi -. Affinché i servizi cloud siano realmente affidabili anche sul piano della disponibilità della rete sui cui transitano i servizi It, è fondamentale che l’azienda utente si tuteli. Per fare ciò, però, molto spesso è costretta ad investire in parallelo in servizi di Tlc ad alta affidabilità, abbastanza costosi. Visto che il cloud non può esistere senza connessione ad Internet, sarebbe interessante vedere al proprio fianco un ‘ecosistema’ di partner/vendor, in modo che il progetto possa essere affrontato e governato in modo efficace sotto tutti i punti critici di analisi e progettazione necessari”.

“Da non sottovalutare, a mio avviso, le difficoltà di contrattazione che, spesso, sono poco flessibili e quindi ‘bloccano’ le scelte delle aziende”, aggiunge Luca Fioletti, responsabile Area Canali di Banca Popolare di Sondrio. “Una realtà media come la nostra, nella definizione degli Sla, elemento piuttosto critico e non trascurabile, potrebbe riuscire ad avere un ‘peso’ contrattuale con gli operatori locali, non certo con le multinazionali ‘alla Google o alla Amazon’. Anche se, in caso di disservizio, il provider è tenuto ad un risarcimento, il mio ‘peso’ come cliente non è poi così rilevante per ‘questi giganti’. Il cloud pubblico diventa quindi un freno, a fronte di una impossibilità di contrattazione e di definizione degli Sla più opportuni”.

Non da ultimo, ai vendor è chiesta anche una capacità di supporto ‘al cambiamento’. “Il punto critico, nel passaggio al modello cloud, è la trasformazione dei processi e quindi del modello di governance – condivide Martino Pellegrini, direttore Operations, It e Organizzazione di Crédit Agricole Assicurazioni -. Con il cloud non cambia solo il processo di governo del dato ma tutti i processi e le operations It, soprattutto se il modello è di tipo public cloud. E con essi, cambiano anche gli skill, le responsabilità e i ruoli. Un cambiamento che dovrebbe essere supportato dai vendor che non dovrebbero limitarsi a sottoscrivere il contratto di servizio ma capire come si inserisce nell’organizzazione It esistente e con quali impatti per estrapolarne una roadmap implementativa corretta ed efficace”.


Symantec.cloud: un sicuro portafoglio “as a service”

I servizi Symantec.cloud offrono protezione ‘as a service’ eliminando la necessità di gestire hardware e software on-site. La proposta di servizi si articola su tre differenti direttrici: sicurezza, gestione e-mail e protezione dei dati. I servizi di sicurezza sono indirizzati alla protezione e gestione delle informazioni archiviate sugli endpoint e scambiate tramite e-mail, web e messaggistica istantanea. Parliamo di servizi di public cloud quali: Email Encryption.cloud che attivano comunicazioni tramite e-mail sicure e riservate via web senza alcun tipo di hardware o software installato; Email Security.cloud per bloccare virus e spam. Il servizio consente di applicare le normali policy di utilizzo dell’azienda e controlla le informazioni sensibili); Web Security.cloud, per proteggere l’azienda dal malware trasmesso sul web e dall’utilizzo non corretto di Internet; Instant Messaging Security.cloud, servizio che aiuta le aziende che utilizzano le piattaforme di comunicazioni unificate e messaggistica istantanea per le loro comunicazioni con l’esterno a rispondere alle sfide associate alla conformità e alla sicurezza di rete.

Per quanto riguarda la proposta indirizzata alla gestione dell’infrastruttura di e-mail, diventata sempre più complessa e costosa con rilevanti requisiti in termini di investimenti di risorse e competenze, Symantec Enterprise Vault.cloud indirizza le attività di gestione dello storage, reperimento legale e conformità normativa delle e-mail, mentre Email Continuity.cloud offre un sistema e-mail in standby che si attiva in pochi minuti per consentire un utilizzo praticamente ininterrotto delle e-mail in caso di problemi con il server di posta.

Infine, la multinazionale offre servizi per la protezione dei dati critici con streaming automatico in formato crittografato sui data center off-site della società stessa (3 dei quali presenti in Europa). A completare l’offerta nell’ambito della data protection, anche Backup Exec.cloud per il backup e recovery online.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 3