TechTarget

Policy di sicurezza cloud: passo dopo passo si può fare



Indirizzo copiato

Molti sono i motivi che possono spingere un’organizzazione a creare una security policy ad hoc per il cloud. Molta è anche la paura del primo passo ma esistono modelli e best practice per non iniziare in salita 

Pubblicato il 18 giu 2024



Cloud lock in

Seppur stringenti e innovativi, i sistemi di controllo degli accessi che promettono la sicurezza del cloud non bastano. Non bastano nemmeno soluzioni di autenticazione o crittografia dei dati a riposo e in transito. Se si vuol poter dire di aver fatto di tutto per proteggerlo, è necessario stabilire un insieme di regole per la gestione.

Una policy di sicurezza è costituita da un insieme di linee guida molto precise per suggerire come garantire la sicurezza delle operazioni. Anche tenendo conto che deve essere efficace per le diverse configurazioni di cloud: privato, pubblico e ibrido.

Per affrontare le violazioni dei dati e gli incidenti di sicurezza, esistono anche modelli pronti all’uso per preparare una policy di sicurezza del cloud di base, da cui poi iniziare una augurabile opera di personalizzazione.

Perché è importante una policy di sicurezza del cloud?

La maggior parte delle strategie e delle procedure IT si integrano a vicenda definendo cosa deve essere fornito e come si ottiene la conformità alla policy.

Senza queste indicazioni, si può correre il rischio di violazioni della sicurezza, perdite finanziarie e altri danni in ambito cybercrime. L’assenza di policy rilevanti può essere anche citata durante gli audit IT e, in alcuni casi, portare a multe per mancanza di compliance o altre sanzioni.

Anche gli standard di sicurezza del cloud devono essere esaminati per i requisiti di conformità. Uno particolarmente importante è la ISO 27001:2022 Sicurezza delle informazioni, cybersecurity e protezione della privacy – Sistemi di gestione della sicurezza delle informazioni – Requisiti. Questo standard globale riporta requisiti specifici per ottenere la certificazione di conformità.

Due importanti standard nazionali di sicurezza del cloud sono i seguenti:

  • NIST SP 800-53 Rev. 5 (2020), Security and Privacy Controls for Information Systems and Organizations. Si tratta di un importante standard di sicurezza che si applica ai servizi cloud.
  • NIST SP 800-144 (2011), Guidelines on Security and Privacy in Public Cloud Computing. Questo standard fornisce indicazioni sull’implementazione della sicurezza del cloud pubblico, comprese le misure di sicurezza, la protezione degli account utente, l’uso di password forti e altri metodi di autenticazione.

Potrebbe essere utile valutare la presenza di garanzie sulla protezione dei dati da malware e altri attacchi informatici. Rendere disponibile la policy di sicurezza del cloud – o una versione abbreviata con gli elementi chiave evidenziati – per la revisione da parte dei clienti può spesso alleviare i timori di danni o furti di dati e migliorare la reputazione del marchio.

Le policy di sicurezza del cloud sono spesso scritte su argomenti come i seguenti:

  • Controlli di sicurezza del cloud.
  • Strumenti di gestione della sicurezza.
  • Uso accettabile del cloud da parte dei dipendenti.
  • Dati consentiti nel cloud.
  • Protezione dei dati nel cloud.
  • Procedure di risposta agli incidenti.
  • Controllo dell’accesso al cloud.
  • Standard di conformità al cloud.
  • Passi per la creazione di un criterio di sicurezza del cloud

Per iniziare, sono disponibili sei opzioni economicamente vantaggiose per la creazione:

  • Adattare al cloud le policy di sicurezza delle informazioni esistenti. Questi possono utilizzare la struttura della policy esistente e incorporare i componenti rilevanti per la sicurezza del cloud.
  • Aggiungere elementi del cloud a una politica di cybersecurity esistente.
  • Trovare esempi di policy e adattarle alle esigenze dell’organizzazione.
  • Valutare e selezionare software di fornitori in grado di produrre policy in tempi rapidi.
  • Esaminate gli standard di sicurezza del cloud per individuare i framework e i contenuti che possono essere integrati nelle policy.
  • Quando si prepara una policy, è necessario assicurarsi che vengano rispettati alcuni passaggi:
  • Identificare l’obiettivo per la sicurezza del cloud e associarvi la sicurezza e le procedure associate.
  • Assicurarsi l’approvazione del senior management per lo sviluppo della policy.
  • Stabilire un piano di progetto per sviluppare e approvare la policy.
  • Riunire un team per sviluppare la bozza della policy.
  • Chiedere al fornitore del cloud di assistere nello sviluppo della policy.
  • Programmare riunioni di gestione durante la stesura della policy per garantire che vengano affrontate le questioni rilevanti.
  • Se il fornitore di cloud fa parte del team di sviluppo della policy, va invitato alle riunioni come anche i team legali e delle risorse umane quelli di revisione interna e/o di revisione IT e il reparto di gestione del rischio.
  • Distribuire la bozza per la revisione finale per i commenti prima di sottoporla all’approvazione del management.
  • Assicurarsi l’approvazione della direzione, quindi diffondete la politica ai dipendenti.
  • Organizzare sessioni di formazione sulla sicurezza per i dipendenti.
  • Stabilire un processo di revisione e modifica della policy utilizzando le procedure di gestione delle modifiche.
  • Programmare e preparare gli audit annuali della politica.

Modello di politica di sicurezza del cloud

Il modello fornisce una formulazione suggerita per la policy e identifica le aree che devono essere completate dall’autore della policy. Può essere modificato in qualsiasi modo il team di sviluppo della policy ritenga opportuno.

Componenti di una politica di sicurezza del cloud

Le policy per la sicurezza del cloud possono essere semplici e brevi, per descrivere le attività cloud rilevanti senza entrare molto nello specifico. Se necessario, si possono e si devono includere ulteriori dettagli, ma la maggior parte dei reparti IT desidera mantenere le policy concise, pur affrontando le questioni importanti.

Di seguito sono riportati i componenti necessari di una policy per la sicurezza del cloud:

  • Introduzione. Indicare le ragioni fondamentali che giustificano l’adozione di una politica di sicurezza del cloud.
  • Scopo e ambito. Fornire dettagli sullo scopo e sull’ambito di applicazione della policy per il cloud.
  • Dichiarazione della strategia. Illustrare la politica di sicurezza del cloud in termini chiari, includendo i sistemi che potrebbero essere interessati, i fornitori di cloud coinvolti, gli standard che riguardano la sicurezza del cloud e qualsiasi altro dato rilevante.
  • Leadership della policy. Indicare chi è responsabile dell’approvazione e dell’implementazione della policy.
  • Verifica della conformità. Indicare gli elementi necessari, come valutazioni, esercitazioni o test di penetrazione, per verificare che le attività di sicurezza del cloud siano conformi alle politiche. Se è in vigore un accordo sul livello di servizio (SLA), deve essere indicato nella policy.
  • Sanzioni in caso di non conformità. Definire le sanzioni (ad esempio, rimprovero verbale e nota nel file del personale per gli incidenti interni o multe e azioni legali per le attività esterne) per il mancato rispetto delle politiche e degli SLA, se fanno parte della politica.
  • Appendici (se necessarie). Fornire ulteriori informazioni di riferimento, come elenchi di contatti, standard e framework, SLA o ulteriori dettagli su specifiche dichiarazioni di policy sulla sicurezza del cloud.

Una volta approvata e resa operativa una policy di sicurezza del cloud va considerata come un documento vivo, da usare per stabilire gli indicatori chiave per la misurazione delle performance, pianificare i futuri audit, garantire la conformità e stabilire un mindset in cui la sicurezza sia enfatizzata.

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4