ASCOLTA L’ARTICOLO
Introduzione
Una delle principali preoccupazioni che affrontano le aziende durante la fase decisionale che precede la migrazione al cloud è legata alla sicurezza dei dati e delle informazioni archiviate, ossia quelle attività che garantiscono l’integrità di applicazioni, dati e infrastrutture virtuali che risiedono sul cloud.
La sicurezza del cloud è un elemento essenziale che richiede l’implementazione di procedure e tecnologie apposite per contrastare sia le minacce provenienti dall’esterno che quelle interne, le quali possono comportare rischi per l’azienda.
La struttura della sicurezza deve essere attentamente presa in considerazione durante la fase di trasformazione digitale e deve essere considerata parte integrante dell’approccio operativo. Questo è necessario per assicurare la continuità delle attività aziendali e lo sviluppo del business, a prescindere dalla dimensione aziendale o dalla tipologia di ambiente cloud adottato.
Ancora oggi tende a persistere la convinzione che i dati conservati su server aziendali siano più al sicuro, senza considerare che i provider cloud adottano politiche di sicurezza rigorose progettate appositamente.
Inoltre, utilizzando sistemi in cloud, è possibile ottenere elevati livelli di sicurezza con investimenti minori rispetto alle soluzioni on-premises.
Da quali minacce proteggersi?
Sebbene l’affidabilità del cloud spinga le aziende a spostarsi verso questa tecnologia, l’adozione di questi ambienti, può presentare potenziali rischi nel caso in cui non venga effettuata in modo adeguato. Ma non solo, poiché, anche se i provider cloud adottano le migliori strategie di sicurezza e mettono in atto misure concrete per proteggere i propri server, le organizzazioni devono contribuire attraverso provvedimenti appropriati e una comunicazione chiara al proprio interno.
Le minacce alla sicurezza informatica si sono evolute nel tempo, diventando più intricate e complesse e i fornitori di servizi cloud sono ora il principale bersaglio degli attacchi informatici. Ciò è dovuto alla limitata conoscenza e visibilità dell’accesso da parte delle organizzazioni che utilizzano servizi cloud e proprio questa mancanza di visibilità rende più difficile individuare e proteggere i dati sensibili dagli attacchi informatici.
Secondo il 67% dei professionisti della sicurezza informatica intervistati da CyberSecurity Italia, l’errata configurazione della sicurezza nel cloud rappresenta il rischio più significativo per le aziende.
Tra le minacce associate ad essa, emergono in particolare le seguenti:
- L’accesso non autorizzato ai dati sensibili o alle risorse all’interno del cloud. Ad esempio, se i permessi di accesso non vengono impostati correttamente, potrebbe essere possibile per un hacker accedere a dati riservati o modificare le impostazioni del sistema.
- La perdita involontaria di dati, poiché, se le impostazioni di backup non sono state configurate correttamente, potrebbe non essere possibile recuperare i dati in caso di incidente o guasto del sistema.
- La vulnerabilità agli attacchi dei servizi cloud. Ad esempio, se non vengono applicate le patch di sicurezza o se le impostazioni di sicurezza predefinite non vengono modificate, gli hacker potrebbero sfruttare queste debolezze per compromettere il sistema.
- La divulgazione non autorizzata di informazioni sensibili. Ad esempio, se i file o le risorse sono erroneamente configurati come pubblici anziché privati, chiunque potrebbe accedere a tali informazioni senza alcuna restrizione.
- L’utilizzo non autorizzato delle risorse del cloud, come ad esempio le capacità di calcolo o di archiviazione. Questo potrebbe comportare un sovraccarico delle risorse, con conseguente degrado delle prestazioni per gli utenti legittimi o costi imprevisti per il proprietario del cloud.
Dunque, per mitigare questi rischi, è fondamentale adottare una corretta configurazione delle risorse e delle politiche di sicurezza nel cloud, oltre a effettuare regolarmente audit e controlli di sicurezza per individuare e correggere eventuali configurazioni errate.
La seconda causa più frequente di incidenti legati alla sicurezza è la compromissione degli account. Infatti, per le organizzazioni è facile perdere traccia dei dettagli relativi all’accesso ai propri dati e all’identificazione degli utenti quando numerosi servizi cloud sono accessibili da reti aziendali esterne e tramite terze parti.
Anche se le aziende possono limitare in modo efficace i punti di accesso nei sistemi locali, applicare gli stessi livelli di restrizione può essere difficile nell’ambiente cloud. Ciò può rappresentare un rischio per le organizzazioni che non implementano politiche BYOD (bring your own device) e consentono l’accesso non filtrato ai servizi cloud da qualsiasi dispositivo o posizione geografica.
Con la crescente adozione di soluzioni digitali e l’aumento del lavoro da remoto (sfruttato attualmente da circa 3,6 milioni di lavoratori italiani, secondo l’Osservatorio Digital Innovation del Politecnico di Milano), è dunque indispensabile adottare misure di sicurezza adeguate alle postazioni dei lavoratori al di fuori dell’ufficio.
Un’altra minaccia che si può incontrare in questo contesto riguarda la condivisione multitenancy, in cui più clienti utilizzano lo stesso sistema di protezione. Questo approccio, sebbene efficiente dal punto di vista delle risorse, comporta un possibile effetto collaterale, ossia, un attacco mirato a un’azienda potrebbe compromettere anche i servizi ospitati di altre aziende. Pertanto, è essenziale comprendere e mitigare tali rischi al fine di garantire la sicurezza dei dati e delle operazioni aziendali nell’ambiente cloud.
Cloud Security Alliance (CSA), l’associazione internazionale non-profit che sviluppa e promuove best practices, formazione e certificazioni per la sicurezza del Cloud Computing, ha individuato ulteriori minacce, riportate nel seguente elenco:
- Interfacce e interfacce di programmazione delle applicazioni (API) insicure
- Mancanza di un’architettura e di una strategia di sicurezza del cloud
- Sviluppo di software insicuro
- Vulnerabilità del sistema
- Divulgazione accidentale di dati del cloud
- Criminalità organizzata, attori delle minacce e minacce persistenti avanzate (APT)
- Esfiltrazione dei dati di storage nel cloud.
5 passi per un cloud più sicuro
Il National Institute of Standards and Technology (NIST), agenzia governativa statunitense specializzata in standard tecnologici, ha redatto una lista di best practices per garantire la sicurezza del cloud, fornendo un framework di riferimento basato su cinque azioni-pilastro:
- Identificare: ossia valutare i rischi e le vulnerabilità specifiche per l’ambiente cloud dell’azienda. In questa fase, le aziende dovrebbero individuare i dati sensibili, le risorse critiche e gli asset digitali che richiedono una protezione particolare.
- Proteggere: azione che si concentra sull’implementazione di misure di sicurezza adeguate per prevenire e mitigare le minacce. Questo comprende l’uso di autenticazione forte, crittografia dei dati, gestione delle identità e degli accessi, nonché la definizione di politiche di sicurezza a livello aziendale.
- Rilevare: fase che implica la capacità di individuare e monitorare le attività sospette nell’ambiente cloud. Attraverso l’implementazione di soluzioni di rilevamento delle intrusioni, registri di audit e sistemi di monitoraggio avanzati, le organizzazioni possono identificare tempestivamente le violazioni della sicurezza.
- Rispondere: ossia la capacità di reagire prontamente ed efficacemente agli incidenti di sicurezza. Ciò include la definizione di piani di risposta agli incidenti, la formazione del personale e l’implementazione di processi per limitare gli effetti negativi degli attacchi.
- Recuperare: passaggio che riguarda la necessità di ripristinare le operazioni normali dopo un incidente di sicurezza. Le aziende dovrebbero implementare procedure di backup e ripristino dei dati, nonché testare regolarmente la loro efficacia per garantire un rapido ripristino delle attività.
Il NIST sottolinea quindi l’importanza di valutare autonomamente la propria preparazione alla sicurezza del cloud e di adottare misure preventive e di recupero. Questa consapevolezza e azione proattiva sono fondamentali per mitigare le minacce e garantire un ambiente cloud sicuro e affidabile per le aziende.
Alcuni consigli per le aziende
Come abbiamo visto, effettuare una Cloud Migration comporta l’elaborazione di una strategia atta a tutelare la sicurezza dei dati, delle applicazioni e delle infrastrutture aziendali, una corretta configurazione e tutta la serie di processi necessari che prevengono violazioni o incidenti. Se queste operazioni vengono svolte correttamente, le imprese non hanno nulla da temere, anzi, il 62% delle aziende dichiara di aver ottenuto grandi benefici in ambito di sicurezza e di rispetto delle norme sulla privacy, proprio grazie al cloud (fonte Microsoft).
Concludiamo, dunque, con alcuni consigli per le aziende che pensano di affrontare questo processo:
- Adottare, unitamente alle best practices del NIST, le tecnologie per la sicurezza del cloud come quella di Cloud Security Posture Management (CSPM), che offre soluzioni progettate per affrontare un problema che, come abbiamo visto in precedenza, rappresenta la minaccia numero uno nell’ambiente cloud: la configurazione errata. CSPM aiuta a organizzare e distribuire componenti chiave per la sicurezza del cloud e può contribuire a garantire un ambiente sicuro e sostenibile per le organizzazioni.
- Monitorare la sicurezza in maniera costante può aiutare le imprese a ridurre il rischio di incidenti legati al cloud grazie a interventi preventivi.
- Nell’ottica di un approccio alla sicurezza basato sulla difesa in profondità, dovrebbe essere attentamente valutata la possibilità di crittografare i dati raramente utilizzati. In particolare, qualora i dati contengano informazioni sensibili, la crittografia rappresenta un principio fondamentale per la sicurezza, indipendentemente dalla posizione di archiviazione.
- Seguire le linee guida dettagliate riguardanti i controlli di sicurezza e le pratiche consigliate per configurare i servizi in modo sicuro, indicate dai fornitori di servizi cloud. La configurazione della sicurezza nel cloud richiede decisioni ben ponderate, che siano in linea con la sensibilità dei dati memorizzati e con le modalità di utilizzo. L’implementazione di misure quali l’autenticazione a più fattori e l’utilizzo di password robuste è cruciale per limitare il rischio di accessi non autorizzati.
- Evitare il salvataggio di informazioni personali a meno che non sia strettamente necessario.
- Condurre regolarmente un inventario dei dati conservati nel cloud. Molti servizi cloud offrono strumenti dedicati, come dashboard o console di gestione, appositamente concepiti per questo scopo. Oltre al monitoraggio della collocazione dei dati, è fondamentale garantire che le configurazioni di sicurezza e i diritti di accesso siano congruenti con il livello di sensibilità delle informazioni memorizzate.
Sei interessata/o al tema?
Leggi anche l’articolo Barriere alla migrazione al Cloud: quali sono e come abbatterle
Compila il nostro test per scoprire se il passaggio al Cloud conviene alla tua azienda!