LA GUIDA

Cloud security: ecco gli errori da non commettere

Non avere piena consapevolezza dei dati e dei processi da far migrare, concepire delle misure di sicurezza non pensate per il cloud, prediligere un approccio frammentato che separi IT Operation da Security Operation. Sono queste le principali pecche che spesso si possono riscontrare nell’implementazione della cloud security e che si possono evitare

15 Lug 2022
G
Carmelo Greco

Giornalista

L’adozione crescente del cloud computing da parte delle aziende, comprese quelle italiane, apre una domanda sul tema della sicurezza associato alla nuvola e dettato da una superficie IT che ormai si estende ben oltre le mura dell’ufficio o dello stabilimento. Una nuvola che, in base a quanto riporta l’ultimo Osservatorio Cloud Transformation del Politecnico di Milano, oggi vede una netta prevalenza del Public & Hybrid Cloud, con una spesa di 2,39 miliardi di euro sui 3,84 miliardi complessivi del 2021.

Soprattutto nelle imprese di grandi dimensioni è in atto una tendenza che già quest’anno potrebbe sancire il sorpasso del portafoglio applicativo gestito on-premise.

Una cosa è certa, il concetto di ibrido è qui per restare. Dal cloud al lavoro, dal perimetro IT alle fonti di alimentazione e persino con riferimento alla guerra: ogni cosa è ibrida ed eterogenea. A maggior ragione, dunque, la cloud security assume particolare rilevanza per far fronte ai nuovi rischi e alle nuove minacce provenienti da ambienti in cui il mainframe non è più la norma.

Per questo, lungo il cloud journey intrapreso dalle imprese è fondamentale evitare il pericolo di un’asimmetria tra migrazione delle risorse IT e messa in sicurezza dei propri dati. Questo, a livello generale, si potrebbe considerare il primo errore che non bisogna commettere riguardo alla cloud security.

Cloud nazionale e fornitori USA: quale strategia

Cloud e security, lo scenario attuale

Per capire quali potrebbero essere gli ulteriori passi falsi su questo versante, ne abbiamo parlato con Giuseppe Colosimo, Cyber Security Director del gruppo WIIT, società specializzata nell’offerta di servizi di Private e Hybrid Cloud e di Cyber Security per la gestione di ambienti complessi, applicazioni critiche e business continuity. «Fino a qualche anno fa – spiega Colosimo – la scelta del cloud veniva fatta specialmente per abbattere il Total Cost Ownership (TCO). Oggi ci troviamo in una fase nuova che dà per scontato l’utilizzo del cloud come elemento fondamentale della trasformazione digitale e presuppone la comprensione di quali dati e di quali processi vanno portati in cloud, da cui derivano le caratteristiche specifiche della cyber security, che va implementata in un contesto sempre più spesso di tipo multi-cloud ibrido».

Dal cloud visto quasi esclusivamente come strumento per risparmiare, adesso, complice la pandemia, si è passati al cloud come infrastruttura abilitante e necessaria.

Contemporaneamente l’esposizione agli attacchi cyber è aumentata in modo esponenziale, come registrano i vari report periodici elaborati da Clusit, da ciascun vendor e dalle società di consulenza cosiddette big four (Deloitte, Ernst & Young, KPMG, PwC). Un aumento che non è causato soltanto da una maggiore pervicacia degli hacker, ma anche dalla crescita stessa dei dati e delle superfici di attacco. In un tale scenario, «un tema fondamentale è quello dell’analisi del rischio anche in ottica GDPR e poi rispetto al cloud inteso come infrastruttura per andare a identificare le misure più appropriate in relazione ai dati che si vanno a trattare sul cloud» sottolinea Colosimo, aggiungendo quali sono gli errori nei quali non bisogna cadere in materia di cloud security.

I 3 errori principali nella cloud security

Il primo di questi errori, secondo il Cyber Security Director di WIIT, è quello di avviare una migrazione senza avere una consapevolezza piena dei dati e dei processi che si decide di spostare sulla nuvola.

Il secondo, strettamente correlato al precedente, si compie quando non vengono definite delle misure ad hoc di cyber security pensate proprio per il cloud.

Il terzo errore, probabilmente tra i più sottovalutati, è quello connesso a un approccio frammentato in base al quale molte aziende tendono a separare le IT Operation dalle Security Operation. «Il Security Operation Center o SOC viene affidato a fornitori diversi rispetto a quelli a cui si affida la gestione dell’IT Operation» – rimarca Giuseppe Colosimo. «Noi crediamo in un approccio opposto, corroborato fra l’altro da un’ampia letteratura che evidenzia la necessità per i clienti di avere un’integrazione verticale. Il fatto di avere un unico fornitore, che possa gestire sicurezza e Operation del cloud, fa aumentare l’efficienza operativa e fa diminuire il tempo di risoluzione delle problematiche».

Se questa è un’esigenza che appartiene a tutte le organizzazioni, lo è ancor di più in quelle che rientrano nel contesto di Industry 4.0 nelle quali la complessità della sicurezza nasce dall’integrazione di sistemi IT e OT (Operational technology) all’interno di architetture ibride in cui possono convivere data center on-premise, servizi erogati da cloud pubblici e privati, elaborazione in ambiente edge, sensoristica IoT e così via.

La sicurezza del multi-cloud ibrido

L’esempio delle realtà di Industry 4.0 è indicativo del carattere trasversale che la cloud security oggi ha assunto per tutti i settori merceologici, a prescindere dalla roadmap che ogni azienda ha messo in atto per il proprio approdo sulla nuvola.

Il vero ostacolo lungo questa strada è rappresentato semmai dalla mancanza di competenze e di risorse in cui skill sulla cyber security convivano con quelle inerenti all’universo cloud. La proposta di WIIT punta a colmare questa lacuna. «Abbiamo elaborato un modello per la messa in sicurezza del multi-cloud ibrido» dice ancora Colosimo.

«I controlli, le misure di sicurezza specifiche per questo paradigma variano dalla visibility che può essere garantita dalla cyber defense del nostro Security Operation Center alla conoscenza dell’ambito di business e, in generale, del cliente. Da qui poi si passa alla definizione, in accordo con il cliente, delle strategie di mitigazione del rischio per il multi-cloud ibrido che possono prevedere l’implementazione di tante misure».

Rientrano tra quelle tipiche, l’encryption dei server, il controllo degli accessi, la raccolta di log e il monitoraggio degli elementi di sicurezza. A cui si aggiungono processi di data classification, data protection, data loss prevention che abbracciano sorgenti variegate e diversificate tra di loro. «Al di là della singola misura, il nostro contributo è nell’accompagnare l’azienda verso una strategia complessiva con cui affrontare le tematiche cloud in modo aggregato e omogeneo. Il che comprende di conseguenza anche un approccio adeguato alla sicurezza nel multi-cloud ibrido» conclude Giuseppe Colosimo.

Contributo editoriale sviluppato in collaborazione con Wiit

@RIPRODUZIONE RISERVATA

Articolo 1 di 5