Cyber security: il nuovo assetto istituzionale e le strategie operative - Cyber Security 360

CLOUD

Cyber security: il nuovo assetto istituzionale e le strategie operative

Molte soluzioni di sicurezza usate oggi sono state costruite per uno scenario diverso da quello attuale. È dunque il momento per cambiare e il nuovo assetto istituzionale offre l’opportunità e la spinta necessaria per imprimere una trasformazione significativa alle aziende e alla digitalizzazione del Paese

29 Ott 2021
R
Rodolfo Rotondo

Business Solution Strategist Director EMEA di VMware

La strategia cloud nazionale si propone di indirizzare l’adozione delle soluzioni cloud della Pubblica Amministrazione, al fine di erogare servizi digitali a cittadini e imprese attraverso infrastrutture digitali sicure, efficienti e affidabili, al contempo in linea con i principi di tutela della privacy e le raccomandazioni delle istituzioni nazionali ed europee.

Un obiettivo nato sulla scia della Strategia industriale europea della Commissione Europea, con il lancio dell’Alleanza per i dati industriali, l’edge e il cloud nei primi sei mesi del 2021, con cui Bruxelles mira a stimolare la fornitura europea di cloud affidabili, che prevede, tra gli obiettivi da raggiungere entro il 2030, un tasso di adozione del 75% di servizi cloud avanzati per le aziende europee.

La centralità del cloud per l’economia dei dati

Nel nostro Paese, il Ministro per l’Innovazione tecnologica e la Transizione digitale Vittorio Colao sta lavorando proprio in questa direzione: recentemente ha lanciato la Strategia Cloud Italia, definendola come “una casa moderna per i dati degli italiani”, “un risultato bilanciato, orientato a garantire al tempo stesso sicurezza e nuove tecnologie”, in cui migreranno i dati delle pubbliche amministrazioni italiane, per garantire maggiore sicurezza e servizi più efficienti per i cittadini entro il 2025.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity

È chiaro che, affinché l’economia dei dati diventi un interesse nazionale e paneuropeo, gli Stati sovrani hanno bisogno di una capacità digitale che impedisca loro di dipendere da organizzazioni e operatori stranieri per l’elaborazione dei propri dati. E sono molti i dati di mercato che supportano questa affermazione: secondo KPMG, il mercato europeo del cloud nel 2020 aveva un valore stimato di 53 miliardi di euro e si prevede che salirà tra i 300 e i 500 miliardi di euro entro il 2027-2030.

È quello che chiamiamo Sovereign Cloud; ma, per comprendere meglio il perimetro della discussione, occorre stabilire cosa sia esattamente il Sovereign Cloud: di base riguarda l’economia emergente dei dati e la protezione e l’abilitare il valore dei dati nazionali, aziendali e personali, in risposta alla realtà della crescente importanza della privacy dei dati, a partire dal cittadino.

Significa lavorare per garantire l’autonomia tecnologica del Paese, la sicurezza e il controllo nazionale sui dati. L’architettura abilitante prevede, a seconda della classificazione dei dati, la contribuzione di differenti modelli di cloud, da quello privato, ibrido, gestito in licenza e pubblico.

Un vero e proprio modello multi-cloud, in cui si rende necessario il giusto equilibrio tra capacità di innovare e sicurezza dei dati, autonomia degli sviluppatori e capacità di realizzare applicazioni consistenti ed efficienti, garantendo quei principi di trasparenza, portabilità e interoperabilità in grado di estendere le capacità del cloud nazionale a un contesto europeo di valorizzazione e condivisione dei dati, a beneficio di cittadini e imprese.

La cyber security nell’attuale ecosistema digitale distribuito

Dobbiamo però tenere in considerazione che l’adozione di soluzioni cloud, unita a modelli di lavoro sempre più distribuiti, sta portando alla creazione di un ecosistema digitale estremamente distribuito e complesso, con un aumento degli attacchi cyber.

Come evidenziato nel nostro recente “Global Security Insights Report 2021”, assistiamo infatti a una sempre maggiore sofisticazione degli attacchi stessi, che mirano sia a sottrarre i dati delle organizzazioni sia ad alterarne l’integrità, con una media per l’Italia di 2,4 attacchi gravi all’anno per organizzazione.

È in questo scenario che si rende necessario per le organizzazioni rivedere completamente l’approccio alla cyber security, poiché i sistemi di sicurezza legacy non sono più sufficienti, il panorama delle minacce è completamente cambiato e il nuovo modo di lavorare impone una protezione che si estenda oltre gli endpoint ai carichi di lavoro per proteggere meglio dati e applicazioni.

Il proliferare delle informazioni e la quantità di applicazioni a cui abbiamo accesso ogni giorno impongono, infatti, una nuova strategia per la sicurezza: non esistendo più un perimetro sicuro, e non esistendo più dispositivi sicuri, occorre un vero e proprio cambiamento di paradigma, passando da una sicurezza pensata ancora per modelli in cui i confini digitali erano entro le mura dei data center dell’organizzazione, a una in cui le infrastrutture digitali vengono trasformate da punti di vulnerabilità a punti di controllo, riuscendo a comprendere, attraverso l’intelligenza collettiva dei punti di controllo stessi, la postura di sicurezza dei dati in modo continuativo e ubiquo.

Grazie a un modello zero-trust, le aziende possono adottare un approccio alla sicurezza IT totalmente rinnovato, che presuppone l’assenza di un perimetro di rete affidabile e in base al quale ogni transazione di rete deve essere autenticata prima che possa concretizzarsi. Il modello zero-trust si basa sul principio “non fidarsi mai, verificare sempre” e fa affidamento su altre metodologie di sicurezza della rete, quali la segmentazione della rete e controlli di accesso rigorosi. Una rete zero-trust definisce una “superficie protetta” che include dati, risorse, applicazioni e servizi critici.

Conclusioni

In definitiva, molte soluzioni di sicurezza utilizzate oggi sono state costruite per uno scenario diverso da quello attuale. Le aziende digitali altamente distribuite non possono semplicemente prendere i vecchi strumenti e processi di sicurezza, applicarli alle nuove realtà di oggi e aspettarsi di essere protette.

È il momento per cambiare, e il nuovo assetto istituzionale ci sta dando l’opportunità e la spinta necessaria per farlo: un’occasione da cogliere, per imprimere una trasformazione significativa alle aziende e alla digitalizzazione del Paese.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5