Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Sistemi informativi on premise o in cloud: per la sicurezza dei dati aziendali non ci sono differenze

01 Lug 2019

Quello della maggiore o minore sicurezza dei sistemi informativi on premise o in cloud è, secondo gli esperti, un falso problema. Fintanto che un sistema è connesso a Internet e quindi liberamente accessibile, infatti, una possibile violazione della sicurezza dei dati è un’eventualità tutt’altro che remota.

Come evidenziato su ZeroUno nell’interessante approfondimento On premise o in cloud, sotto il profilo della sicurezza non ci sono differenze, in un mondo iperconnesso e “smartificato”, affiancato da una digitalizzazione imperante del business, concettualmente parlando non c’è differenza tra modelli on premise o in cloud.

Più che altro, sono gli aspetti di sicurezza da valutare che cambiano a seconda che si scelga l’una o l’altra soluzione.

Sistemi informativi on premise o in cloud: aspetti di sicurezza

In particolare, se si sceglie di ricorrere a una soluzione cloud rispetto all’approccio “on premise”, è importante che le aziende valutino il servizio offerto, il fornitore che questo servizio offre e le sue garanzie per la migliore copertura delle proprie esigenze.

WHITEPAPER
Cybersecurity: come superare le vulnerabilità delle tecniche di Intelligenza Artificiale
Sicurezza
Sicurezza

Una fase di scelta e valutazione molto delicata e da affrontare con la massima attenzione, così come approfondito nell’articolo Servizi cloud e sicurezza dei dati: ecco i rischi (e le opportunità) per le aziende di Cybersecurity360.it.

In particolare, come evidenziato nell’articolo, devono essere valutati sia la “maturità” dei possibili fornitori in tema di cyber security e i livelli di sicurezza garantiti dalle possibili soluzioni. Aspetti, questi, che possono essere articolati per macroaree:

  • Governance: include gli aspetti utili a valutare la “maturità” del cloud provider in tema di cyber security.;
  • Compliance: consente di valutare la capacità del provider di soddisfare i requisiti di conformità a leggi, regolamenti e standard di riferimento per il cliente;
  • Business Continuity: consente di valutare la capacità del provider di garantire la continuità dei servizi offerti e la disponibilità delle operazioni e dei dati;
  • Infrastructure Security: include le misure di sicurezza fisica e ambientale (dal controllo degli accessi fisici a impianti antincendio e allagamento), di sicurezza delle reti (segmentazione, sicurezza perimetrale, accessi remoti sicuri, IDS/IPS ecc.) e delle architetture di virtualizzazione (ad esempio, multi tenancy per segregare i dati di clienti diversi);
  • Identity & Access Management: fanno parte di questa categoria le misure per il controllo degli accessi logici a sistemi, apparati, servizi e applicazioni, sia da parte del personale del provider per finalità di gestione sia da parte degli utenti dei clienti per accedere a servizi e dati;
  • Data Protection: consente di valutare la capacità del provider di proteggere i dati dei clienti da accessi e modifiche non autorizzati;
  • Host, Middleware & Application Security: include le misure per la sicurezza dei server fisici, quali antivirus, hardening e patching, del middleware (quali API security, database security) e delle applicazioni (adozione di best practice di sviluppo di codice sicuro, web application firewall -WAF, code inspecting ecc.);
  • Operation & Monitoring: include procedure di patch management, interventi di vulnerability assessment, il tracciamento, il monitoraggio dei log, strumenti e procedure per la gestione e la notifica degli incidenti di sicurezza.

Da quanto detto finora è dunque evidente che per ottenere una sicurezza efficace dei dati aziendali è importante adottare una nuova cultura manageriale che sappia applicare correttamente i principi di una governance 4.0.

Il che significa avere a disposizione persone preparate e impegnate ad applicare costantemente gli strumenti, le tecnologie e i processi più affidabili per ridurre i rischi a livelli ragionevoli.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3