C’è una moltitudine di fattori di sicurezza che le imprese devono considerare quando si spostano le operazioni e le applicazioni negli ambienti cloud, ma in base a un trio di analisti di Gartner, i clienti dei servizi Cloud di fascia enterprise dovrebbero fare dei contratti il punto focale dei loro sforzi di transizione.
In caso contrario, rischiano di non avere a disposizione le necessarie dotazioni di sicurezza e i controlli di cui hanno bisogno.
Jay Heiser, Research Vice President di Gartner, ha evidenziato come le imprese perdono progressivamente controllo sui loro sistemi IT e dati nel passaggio da un IT in-house o da un hosting autogestito alle varie offerte di Cloud. Alla luce di questo dato di fatto, l’esperto sostiene che le imprese devono affrontare la questione fondamentale di “chi controlla”.
Ad esempio, le imprese che utilizzano servizi SAAS (Software-as-a-Service) erogati attraverso cloud pubblici sono altamente dipendenti dal loro fornitore di servizi, perché praticamente questo tipo di contratto trasferisce al provider tutte le responsabilità in materia di tutela dei dati, specifica Heiser. In tali circostanze, le imprese dovrebbero prestare particolare attenzione alle clausole siglate, per garantire che tutte le disposizioni critiche e i controlli di sicurezza siano effettivamente inclusi nel contratto con il service provider.
Purtroppo, non tutti i CSP (Content Service Provider) sono disposti a fornire garanzie di sicurezza dettagliate ai propri clienti. Donna Scott, Vice President della ricerca in Gartner, sostiene che i clienti della sua società hanno denunciato molti reclami riguardanti livelli di servizio (SLA) piuttosto deboli, che non offrono le necessarie garanzie per quanto riguarda la sicurezza, la riservatezza e la trasparenza dei dati nel Cloud.
Anche se le imprese hanno affrontato il problema dell’IT ombra per lungo tempo, Scott ha osservato che una ricerca Gartner ha scoperto che più del 25% della spesa IT aziendale ormai non rientra più nella competenza delle organizzazioni IT tradizionali. Una percentuale peraltro che, a tendere, aumenterà nel corso dei prossimi anni.
Le potenziali insidie del contratto di servizi Cloud
Con molti dei dettagli relativi alla sicurezza lasciati “in mano” ai CSP, a cosa dovrebbero fare attenzione le aziende che stipulano un contratto di servizi cloud? John Morency, Vice Presidente Ricerca di Gartner, commenta che “il diavolo è nei dettagli”, soprattutto per quanto riguarda quale parte contrattuale debba essere considerata responsabile relativamente a ciascun aspetto delle operazioni di sicurezza.
“Chi è responsabile di cosa? Chi è responsabile per la configurazione e la gestione delle operazioni?”, si deve domandare il rappresentante dell’azienda deputato a verificare le clausole contrattuali.
Heiser osserva che le imprese hanno spesso difficoltà a determinare quali controlli di sicurezza un CSP abbia messo in atto. Quando gli vengono formulate domande specifiche sull’argomento, spesso il provider è elusivo o vago. L’industria ha bisogno di diffondere l’utilizzo di alcune certificazioni comuni in modo le aziende possano valutare più facilmente la competenza del fornitore, ha detto l’esperto.
Con l’iniziativa FedRAMP (Federal Risk and Authorization Management Program), un programma governativo che fornisce un approccio standardizzato alla sicurezza, all’autorizzazione e al monitoraggio dei prodotti e servizi cloud, gli Stati Uniti stanno dimostrando di essere la nazione più vicina alla definizione di uno standard globale.
Un’altra area di interesse è il downtime dei servizi Cloud. Nonostante la percezione della nuvola si quella di un servizio disponibile 24x7x365, molti CSP non funzionano in questo modo, mette in guardia Morency, in particolare quando si tratta di servizi SAAS globali in cui i provider non possiedono i centri dati. Le imprese dovrebbero chiedere chiarimenti sulle garanzie di uptime, sulla frequenza e la programmazione dei downtime e su come l’availability interesserà gli utenti dei servizi cloud.
Anche senza tempi di inattività pianificati, un disastro può colpire di punto in bianco. Morency ha citato come esempio un incidente accaduto nel 2011 in cui un fulmine ha danneggiato un trasformatore del sistema di alimentazione di un datacenter Amazon a Dublino, in Irlanda, causando lo spegnimento pressoché totale della struttura che era stata progettata avendo come riferimento la massima resilienza. “Non ci sono garanzie – ha detto Morency -. La nozione di garanzia al 100% non esiste”.
Per essere risarcite per i tempi di inattività, Morency ha sottolineato che le imprese devono assicurarsi che vengano impostati all’interno degli SLA dei meccanismi di compensazione specifici, altrimenti i CSP fissano dei livelli di compensazione standard, generalmente compresi tra il 20% e il 50% del costo del servizio, per tutelarsi a fronte di downtime.
Perdere un’ora, un giorno o una settimana di servizio è già abbastanza grave, ma Morency paventa anche lo scenario peggiore per i clienti dei servizi enterprise Cloud: cosa succede se il fornitore cessa la propria attività? I clienti della divisione britannica di Doyenz hanno dovuto rispondere a questa domanda il 10 agosto 2012, quando l’azienda ha inviato comunicazione ai propri clienti nella quale li informava che stava chiudendo i battenti e che avevano tre settimane di tempo per decidere che cosa avrebbero fatto dei loro dati. Alcuni CSP non danno neppure un preavviso così lungo, mette in guardia l’esperto. “La maggior parte delle organizzazioni non ha la flessibilità e il tempo per affrontare questo problema”, ha commentato.
Anche se l’impresa può negoziare la stipula di clausole di tutela piuttosto forti, i vantaggi della nuvola non necessariamente superano i rischi per la sicurezza, sottolinea Heiser. L’esperto ha suggerito che le imprese con un’alta propensione al rischio e dati che si caratterizzano per un basso livello di sensibilità dovrebbero considerare le opzioni di hosting nella nuvola dopo aver eseguito una valutazione approfondita del rischio, ma che qualsiasi organizzazione non interessata a sperimentare dovrebbe aspettare.
