I servizi cloud rappresentano un’indiscutibile opportunità per le organizzazioni: che si tratti di più semplici soluzioni per lo storage, o di più evoluti servizi capaci di offrire applicazioni e ambienti virtuali, queste tecnologie possono offrire molti vantaggi. Ci sono però perplessità che ne ritardano l’adozione, soprattutto per quanto riguarda la sicurezza dei dati in cloud.

 

I dati in cloud non sono in azienda, quindi sono a rischio?

Questo semplice pensiero deriva da una considerazione tanto vera quanto ovvia: i dati in cloud non sono gestiti direttamente dall’organizzazione che ne detiene la proprietà e risiedono in infrastrutture gestite da terzi. Quindi, sono potenzialmente esposti a rischi.

Difficile dire vero o falso, infatti se è vero che i dati in cloud sono potenzialmente a rischio perché gestiti da società esterne all’organizzazione, è altrettanto vero che queste società basano il proprio business su questi servizi e possono investire in tale ambito risorse non sempre disponibili nelle singole organizzazioni. Stiamo parlando di investimenti economici ingenti per creare infrastrutture di rete sicure e ridondanti, ma anche personale IT altamente formato e specializzato in questo preciso ambito.

I costi elevati di queste infrastrutture e di tutto quanto si rende necessario alla sicurezza dei dati in cloud viene ripartito su un gran numero di clienti che beneficiano di queste tecnologie “as a service”.

 

L’intelligenza artificiale al servizio della sicurezza dei dati in cloud

Mettendo a confronto una soluzione on-prem con una in cloud è evidente che quest’ultima offra una maggior superficie di esposizione in caso di cyber attacco, quindi rappresenta uno svantaggio sul fronte della sicurezza dei dati cloud. Alcuni dati distribuiti da Microsoft impongono però una considerazione importante, infatti, la disponibilità di un’elevata mole di dati in abbinamento a tecnologie di AI permetterebbero un’efficiente individuazione delle minacce, a tutto vantaggio della sicurezza dei dati in cloud. Microsoft a febbraio 2020 ha indicato di aver velocizzato del 50% i tempi relativi all’individuazione di nuove minacce rispetto all’anno precedente.

Questi aspetti decisamente rassicuranti e positivi non devono però farci cadere nell’errore di credere che la sicurezza dei dati in cloud possa essere interamente delegata a terzi. La responsabilità deve invece essere condivisa tra chi offre e gestisce i servizi in cloud e l’organizzazione stessa che sceglie di usufruire di tali servizi.

 

Elementi di mitigazione del rischio

Il primo elemento su cui agire per preservare la sicurezza dei dati in cloud è il singolo endpoint: policy di sicurezza e best practice dovranno garantire che il dispositivo utilizzato per accedere al cloud possa essere considerato sicuro. Il controllo può essere effettuato attraverso soluzioni di cloud security services offrendo quindi la necessaria flessibilità in scenari BYOD o ibridi.

La sicurezza dei dati in cloud dipende anche da chi a tali dati accede, quindi soluzioni di autenticazione multifattore, crittografia dei dati e utilizzo di password forti e sicure sono elementi imprescindibili in un contesto simile.

Una corretta valutazione del rischio potrebbe anche suggerire un approccio basato su un cloud ibrido, nel quale ad esempio i dati meno sensibili vengono gestiti attraverso un cloud pubblico, mentre dati più strategici vengono processati attraverso un cloud privato.

Questo approccio potrebbe suggerire anche l’utilizzo di più partner tecnologici attraverso i quali implementare differenti servizi in cloud; una soluzione simile avrebbe il vantaggio di subire minor impatto nel caso in cui il servizio offerto da un singolo provider possa incorrere in problemi. Una scelta simile, premiante sul piano della sicurezza dei dati in cloud, necessita però di maggior attenzione in sede di pianificazione al fine di garantire la portabilità dei dati.

 

L’importanza dell’aggiornamento delle applicazioni e API

La sicurezza dei dati in cloud non può prescindere da altri elementi più semplici ma al tempo stesso fondamentali. La distribuzione degli aggiornamenti e la qualità del codice hanno importanza fondamentale perché eventuali falle di sicurezza nelle applicazioni (o a livello di API) potrebbero essere sfruttate per compiere azioni malevole. Le azioni di update e di monitoraggio dell’infrastruttura rappresentano asset strategici al fine di garantire la sicurezza dei dati in cloud.

Il quadro descritto suggerisce una situazione tutto sommato positiva: gli elementi per garantire la sicurezza dei dati in cloud ci sono, come anche le differenti opzioni a disposizione delle organizzazioni per soddisfare in modo strategico le proprie esigenze. Emerge però il forte legame che ci deve essere tra chi offre i servizi in cloud e l’IT delle singole organizzazioni: in uno scenario di responsabilità condivisa è fondamentale che ognuno dei due attori faccia la propria parte. La scelta di un partner tecnologico deve quindi essere fatta considerando non solo il singolo servizio cloud offerto, ma anche il servizio offerto in merito al monitoraggio e controllo, oltre che ad ulteriori risorse messe in campo in caso di problemi.

 

New call-to-action

Topic: Cyber Security