Quali criteri bisogna adottare per comprendere l’effettivo livello di sicurezza cloud di cui gode l’azienda? E soprattutto, quali passaggi sono necessari per istituire una serie di meccanismi atti a potenziare i livelli di protezione man mano che si espande l’architettura?
Posto che ogni organizzazione fa sempre storia a sé, è possibile compilare una vera e propria checklist che in linea di massima vale per qualsiasi tipo di impresa. Effettuare questi controlli nel contesto di una strategia digitale coerente è essenziale per dare vita a una sicurezza cloud estesa e dinamica, capace cioè di adattarsi all’evoluzione delle esigenze di business nel corso del tempo.
Le policy cloud, implementate per garantire l’integrità e la riservatezza delle informazioni aziendali, possono essere utilizzate anche per la gestione finanziaria, l’ottimizzazione dei costi, la gestione delle prestazioni e la sicurezza della rete, allargando a tutte le attività gestite in modalità as-a-service una serie di regole ben definite e adattando i processi per affrontare i vari scenari applicativi.
La responsabilità di un ecosistema sicuro ricade naturalmente sia sul provider di servizi cloud sia sull’azienda utente. L’attuazione e il monitoraggio di politiche e procedure condivise contribuiscono dunque a eliminare qualsiasi zona d’ombra a cavallo dei due versanti, mitigando le minacce endogene ed esogene.
Fatta questa precisazione, la scelta delle policy da adottare è strettamente legata a una serie di requisiti individuabili rispondendo a quattro domande:
La corretta gestione delle identità e degli accessi è un aspetto fondamentale per garantire la sicurezza cloud in ciascun ambiente aziendale. Non si tratta solo di controllare il modo in cui gli utenti vengono identificati e autenticati nel cloud, ma anche di stabilire chi può assegnare i diritti di accesso in funzione dei task e dei ruoli predefiniti.
In questo caso, le domande da porsi per verificare che il livello di protezione sia sufficiente sono:
La sicurezza della rete è una componente vitale in quanto aiuta le organizzazioni a rispettare i propri obblighi di conformità e, al tempo stesso, consente di ridurre al minimo il rischio informatico collegato all’uso del cloud. Questo tipo di protezione di solito non viene fornita nei pacchetti di sicurezza del cloud pubblico, mentre attraverso l’attivazione di contratti in private cloud è possibile accedere a strumenti anche molto avanzati, tipicamente erogati attraverso la logica dei managed service.
Per delineare lo status quo rispetto a questo tema è utile chiedersi:
La gestione delle patch è indispensabile per mettere server e dispositivi al riparo dagli attacchi degli hacker che sfruttano bug e vulnerabilità note del software per introdursi nei sistemi. La mobilità spinta e il lavoro ibrido stanno inducendo le imprese a distribuire ai propri collaboratori una moltitudine di device che vengono usati fuori sede e che, sempre più raramente, vengono riconnessi ai server ubicati fisicamente nell’headquarter per effettuare gli aggiornamenti. Implementando un servizio di patch e update basato sul cloud, le organizzazioni possono accedere a tutti i dispositivi ed erogare gli aggiornamenti in modalità push ogni volta che i device dispongono di connessioni Internet.
A prescindere dall’adozione di strumenti di questo tipo, per scoprire se si è davvero protetti è comunque necessario domandarsi:
Parlando di minacce che si evolvono costantemente, impossibile non citare il tema del monitoraggio continuo dei sistemi. Con ambienti che si fanno sempre più complessi e perimetri aziendali che diventano sempre più estesi, a cavallo di multi e hybrid cloud, oggi conviene puntare sulle soluzioni CASB (Cloud Access Security Broker).
Per comprendere se la sicurezza cloud aziendale è in linea con la definizione che dà Gartner su questo tipo di soluzioni, è bene domandarsi:
Le attività di monitoraggio possono infatti essere anche affidate in modo efficace a un SOC (Security Operations Center) esterno, che oltre ai tipici servizi di gestione delle funzionalità di sicurezza legate all’infrastruttura IT e ai servizi proattivi (dal security assessment alla security awareness, passando per i vulnerability assessment, i penetration test e i sistemi di early warning) offre una copertura completa e in tempo reale rispetto ai tentativi di intrusione, di attacco o di uso scorretto dei sistemi