On premise o in cloud? Ancora oggi sono molte le aziende che ritengono la nuvola meno sicura rispetto all’avere i propri sistemi informativi in casa. Gli esperti ribadiscono da più parti che questo è un falso problema. La questione è ben altra: in un mondo iperconnesso e smartificato, affiancato da una digitalizzazione imperante del business, concettualmente parlando non c’è differenza tra modelli on premise o in cloud.
Una sicurezza efficace dipende da una nuova cultura manageriale che sa applicare una governance 4.0. Il che significa avere a disposizione persone preparate e impegnate ad applicare costantemente gli strumenti, le tecnologie e i processi più affidabili per ridurre i rischi a livelli ragionevoli. Il tutto tenendo conto della conformità normativa e degli standard di sicurezza come, ad esempio, come ISO/IEC 27001:2013 e NIST 800-53, seguendo le raccomandazioni più aggiornate di questi standard.
La sicurezza non è una cosa che si ha, ma una cosa che si fa
Tutte le aziende si sono aperte al world wide web alla ricerca di una velocità e un’efficienza associate alla massima integrazione, condivisione e collaborazione. Il che significa che, anche quando i sistemi informativi e i dati sono in house, le possibilità di violazione sono infinite. Ogni punto di accesso, infatti, può essere oggetto di vulnerabilità sia a causa del cybercrime che per responsabilità degli utenti (che siano dipendenti, collaboratori, partner o clienti).
Al di là dei numeri che ogni giorno gli analisti snocciolano per ricordare:
- come il numero degli attacchi ogni giorno continui a crescere
- quanto costi a un’azienda la violazione dei dati in termini economici e in sanzioni
- quali e quanti sono i dispositivi aziendali e personali che hanno accesso alla rete aziendale
- in che modo lo Shadow IT sta minando la governance
l’infrastruttura di sicurezza aziendale sempre e comunque deve controllare e proteggere con la stessa attenzione dati, applicazioni e sistemi disponibili sia sul cloud che on premise.
On premise o in cloud: quali sono le differenze
Per capire le differenze tra sistemi on premise o in cloud ecco una miniguida che aiuta a fare chiarezza.
Che cosa significa sicurezza on-premise
Centralizzare la sicurezza nei dispositivi locali (server fisici o virtuali) significa che nulla è ospitato in cloud.
Tutte le funzioni di sicurezza dell’organizzazione risiedono nei computer locali della sede fisica. Se da un lato è vero che questo approccio offre il vantaggio di garantire maggiore controllo sulle informazioni sensibili è vero anche che gli investimenti per assicurarne il presidio sono estremamente onerosi. Oltre alla gestione delle macchine (sviluppi, implementazioni, configurazioni, gestione delle patch, loggin e sistemi controlli, alimentazione, raffreddamento e via dicendo) è necessario adottare politiche di sicurezza legate a una organizzazione che deve prevedere uno o più responsabili che si occupano di inventariare, classificare e presidiare gli asset, gli accessi e, in generale, la gestione di tutti i tool di sicurezza.
L’azienda deve implementare controlli riguardanti la pianificazione e l’aggiornamento costante dei sistemi, la protezione da malicious code, le procedure di backup, la sicurezza della rete, nonché la gestione dei mezzi di comunicazione e lo scambio di informazioni attraverso modalità di controllo che devono essere attive costantemente per fornire una protezione ragionevole dei dati coinvolti. Tutti gli accessi ai sistemi, alle reti e alle applicazioni devono essere monitorati fino a livello del singolo utente e della singola risorsa mediante tecniche basate su privilegi e ruoli che periodicamente devono essere riesaminati per avere massima trasparenza della governance.
La provocazione di John Chambers (ci sono due tipi di aziende: quelle che sono state hackerate e quelle che ancora non lo sanno) è un monito. Anche con un modello on premise, infatti, la sicurezza non è mai un punto di arrivo ma un passaggio di stato da un livello di insicurezza a un altro.
Che cosa significa sicurezza in cloud
Il cloud è una forma di outosurcing 4.0. Grazie alla nuvola, infatti, per un’azienda diventa più semplice usufruire di numerosi servizi delegati all’automazione delle vendite, agli ERP, alla gestione degli asset, delle retribuzioni e via dicendo.
Trattandosi di un ambiente virtuale, non ci sono limiti fisici: volumi e risorse gestite sono tutte scalabili. Il che significa che l’azienda acquisisce una agilità inedita, trasformando tutti i criteri di gestione in una chiave di servizio che prevede un canone a consumo. Il tutto senza dimenticare che a motorizzare i sistemi in cloud ci sono comunque delle infrastrutture fisiche, gestite da un fornitore (o dalla stessa azienda).
È necessario che la qualità della connessione sia garantita per evitare un’interruzione della business continuity, un presidio costante per monitorare l’efficienza dei workflow e la mappatura di ogni punto della rete in modo da evitare problemi tecnici e possibili attacchi. Il consiglio degli esperti è di puntare all’adozione di un framework sicuro per il cloud, integrando quante più possibilità informatiche possibili in un quadro certificato conforme a standard riconosciuti, come ISO 27001, ITAR e FedRAMP. I fornitori di infrastrutture cloud di prim’ordine generalmente rispettano questi standard e si servono di procedure sempre attive per assicurare l’ottemperanza continua a standard di sicurezza adeguati.
Per conseguire un livello di sicurezza efficace, aziende e cloud provider devono soddisfare gli standard di sicurezza applicati al settore di riferimento ricordandosi come anche gli standard di sicurezza si evolvono nel tempo. Un altro aspetto importante è verificare sempre la compliance attraverso il supporto di consulenti esterni specializzati che possono formulare un parametro utile e imparziale per confermare che gli sforzi compiuti per promuovere la sicurezza stanno andando nella direzione giusta.
Governance 4.0 significa prima di tutto realismo
Sono troppe le minacce che si presentano ogni giorno per poter sperare in un anno senza rischi per la sicurezza. Tuttavia, è possibile aspirare a una situazione ideale, sviluppando vision, metodologie e competenze che aiutano a impostare criteri di precauzione, strumenti e servizi ormai irrinunciabili per orchestrare tutte le tecnologie 4.0, dalla Internet of Things alla mobility, dal cloud all’AI, dalla blockchain alla virtual reality.