Lo scenario IT sempre più complesso richiede un nuovo approccio alla sicurezza e il cloud offre una risposta efficace alle nuove sfide. Massimo Barocci, Chief Technology Officer di IWG (Information Workers Group), spiega il ruolo fondamentale della nuvola e in particolare delle soluzioni Microsoft nel costruire sistemi informativi e ambienti di lavoro sicuri.
Dopo venti anni di carriera nella multinazionale americana, Barocci è passato all’azienda di consulenza informatica IWG, Partner Gold Microsoft, che dal 2019 è legata ad Altea Federation attraverso un’alleanza strategica. Il suo punto di vista privilegiato offre una panoramica a 360 gradi sulle tecnologie di sicurezza Microsoft, enfatizzando quanto la migrazione al cloud possa contribuire alla protezione dei dati aziendali.
Il cloud come opportunità di sicurezza
Se la sicurezza fisica e perimetrale erano il principale baluardo delle aziende, oggi hanno perso la loro centralità. L’avvento della nuvola infatti ha cambiato le regole del gioco anche in tema di cybersecurity.
«Il passaggio al cloud – sottolinea Barocci – è un’enorme opportunità per le aziende al fine di garantire maggiore sicurezza e protezione ai dati aziendali. Tuttavia, permangono ancora oggi, alcune resistenze culturali infondate. Come system integrator, il nostro compito è declinare tutti i progetti, soprattutto le iniziative di migrazione, nella logica di migliorare sicurezza e flessibilità dei sistemi IT».
Ma perché la nuvola offre maggiori garanzie di sicurezza? «L’approccio tradizionale alla security – spiega Barocci – ha costi di configurazione e manutenzione importanti, che crescono nel tempo. Le aziende possono ribaltare sui cloud provider gli oneri associati alla protezione delle infrastrutture e del network, acquistando servizi direttamente dal loro datacenter ed ereditando tutte le caratteristiche di security. I fornitori come Microsoft hanno infatti una capacità di spesa nettamente superiore a qualsiasi altra azienda non It per mettere in sicurezza le proprie infrastrutture».
Insomma, comprare una risorsa in modalità as-a-service significa beneficiare di tutte le sofisticate e onerose tecnologie di sicurezza implementate all’interno del datacenter del fornitore, senza doversi sobbarcare le spese di acquisto e ownership.
Le tecnologie di sicurezza
Se i sistemi aziendali sono quindi ben protetti all’interno dei datacenter cloud, dal punto di vista fisico e delle reti, per gli hacker rimane una sola possibilità di fare breccia: rubare le credenziali di accesso degli utenti. «Oggi – chiarisce Barocci – il focus della security deve spostarsi necessariamente sulla protezione delle identità.
Come? Rimanendo in ambito Microsoft, il vendor mette a disposizione, a corollario delle soluzioni offerte, anche una ricca gamma di tecnologie e funzionalità evolute per la gestione delle identità e la protezione dei dati. Quindi l’azienda cliente non deve comprare e installare costosi apparati di sicurezza, ma semplicemente può configurare gli strumenti già disponibili e pronti all’uso.
Il nostro valore aggiunto come IWG è la grande competenza sulle tecnologie Microsoft e la capacità di configurarle in maniera ottimale. I nostri esperti sono in grado di consigliare le migliori strategie di sicurezza e impostare correttamente tutti gli strumenti necessari, a partire innanzitutto dalle funzionalità relative all’identità, come la multifactor authentication».
Come elenca il CTO, il cloud di Microsoft mette a disposizione degli utenti tante soluzioni di sicurezza: ad esempio, la cifratura dei documenti, il blocco degli accessi da parte di alcuni dispositivi sospetti, algoritmi di intelligenza artificiale e machine learning (che per esempio monitorano e imparano i comportamenti degli utenti, segnalando eventuali anomalie), la possibilità di storicizzare i dati per cinque o più anni, in modo da soddisfare gli obblighi di compliance. «Grazie al cloud – ribadisce Barocci – i clienti dispongono di tecnologie di sicurezza evolute attraverso il pagamento di licenze pay-per-use».
La cybersecurity come fattore culturale
Tuttavia, quando si parla di sicurezza, c’è un elemento di rischio che la tecnologia non è in grado di eliminare: il fattore umano. Ecco perché, come evidenzia Barocci, il fenomeno del phishing è in aumento, così come tutte le altre tecniche di attacco che fanno leva sulla distrazione e l’ingenuità degli utenti.
«Qui – sottolinea il CTO – è importante lavorare sulle persone, quindi fare formazione attraverso team specializzati. Anche in questo caso Microsoft viene incontro alle necessità dei clienti, permettendo di effettuare delle simulazioni di attacco: ad esempio, il security officer dell’azienda può inviare ai dipendenti finte mail malevole per verificare le loro reazioni e il loro grado di consapevolezza in materia di security, quindi intervenire sulle persone in modo mirato.
Sicuramente il training ha un costo, banalmente in termini di ore uomo, ma fare cultura sulla sicurezza è fondamentale: basti pensare a quanto possa ammontare il danno economico derivante da un attacco».
Il ruolo fondamentale del partner
L’ambiente cloud Microsoft offre, insomma, strumenti di sicurezza a 360 gradi, ma il suo valore aggiunto sono i partner, con cui arriva al cliente. È proprio attraverso i partner che le aziende riescono a sfruttare appieno tutte le potenzialità delle tecnologie sviluppate dalla multinazionale americana.
«La nostra competenza – afferma Barocci – consiste proprio nel “mettere in fila” le componenti di sicurezza, garantendo le configurazioni corrette e accompagnando le aziende in un percorso strategico. L’obiettivo ovviamente è capire le esigenze del cliente e stilare una lista delle soluzioni da mettere in campo, perché permettano di massimizzare il Return of Investment ma anche di accelerare il time-to-market, sfruttando ad esempio le licenze Microsoft365 e la potenza del cloud Azure per ottenere vantaggio competitivo».
