Un sistema sicuro richiede che lo sia in tutte le sue componenti, dai server centrali al tablet usato per leggere o inviare documenti mentre si è in viaggio. In tal senso la diffusione di virus negli smartphone, nei tablet e in simili oggetti portatili ha creato seri problemi ai manager delle aziende, che vedono nella mobilità un potente strumento di razionalizzazione dell'operatività aziendale, di aumento della produttività e come mezzo per essere sempre e facilmente in contatto con i propri colleghi e soprattutto con i clienti.
I problemi di sicurezza, riconoscono poi ultime analisi, si sono enfatizzati con la diffusione dell'utilizzo di risorse IT sotto forma di servizio o, come si dice oramai usualmente, nel Cloud. Compreso in questo la “Security as a Service”. Si tratta di un approccio alla sicurezza aziendale che trae le sue origini dai servizi gestiti forniti da tempo da società specializzate e che ora vengono distribuiti ed integrati in soluzioni Cloud. Consiste, in sostanza, nel fruire di applicazioni e servizi atti a verificare la sicurezza dell’IT aziendale, a controllare che l’uso delle applicazioni avvenga in modo non fraudolento, e in senso lato che risulti sicuro l’accesso e l’erogazione dei servizi del sistema informativo in modo da poter garantire la riservatezza, la protezione e la continuità del business.
Va osservato che l'interesse per la sicurezza fruita sotto forma di servizio deriva da una parte dalla complessità del tema dal punto di vista tecnologico e della gestione e dall'altra dalla complessità legislativa, che rende difficile per chi non abbia alle spalle un team dedicato alla sicurezza, districarsi tra leggi, norme, responsabilità di chi e per che cosa, eccetera. In sostanza, se un dipendente mentre è in vacanza usa in modo improprio un Pc portatile di proprietà aziendale e ciò porta alla perdita o al furto di dati sensibili, magari perché via cloud si è collegato ad alcune applicazioni, chi è responsabile civilmente o penalmente? E i dati che ha salvato in uno storage remoto sono ugualmente protetti normativamente sia che si trovino in uno storage a Parigi, a New York o a Bucarest?
Come è possibile dedurre, peraltro confermata dai sondaggi che con una certa frequenza vengono pubblicati, l'incertezza che coinvolge un discreto numero di manager ICT e di manager aziendali quando si ha a che fare con la sicurezza e con la decisione se continuare con un IT in house o basato sul cloud, soprattutto se di tipo Public, ha quindi alla base delle motivazioni più che valide.
Gli elementi chiave
Ma quali sono gli elementi ideali che dovrebbero caratterizzare un fornitore di servizi di sicurezza per l’ambito Cloud Enterprise? Perlomeno tre sono gli aspetti che si evidenziano come particolarmente critici e che in fase di identificazione è opportuno considerare attentamente:
* La disponibilità di policy, procedure e standard da adottare e cioè la possibilità di acquistare oltre ai servizi software anche le capacità umane necessarie per disporre del necessario supporto nello sviluppare i servizi necessari sulla base della specificità aziendale, a partire da una approfondita valutazione delle policy esistenti e della loro efficacia.
* L’esistenza di un framework di riferimento che permetta di traslare le policy e le procedure in servizi reali applicabili alle attività di business, fornire informazioni parziali e globali inerenti il livello di sicurezza esistente, nonché fornire una visione sul grado di efficacia delle specifiche policy e procedure attivate.
* Adeguati servizi di Security Services Management che permettano di fondere in un unico insieme le attività di business e di sicurezza. Ciò può essere ottenuto mediante funzioni di sicurezza e la possibilità di sviluppare un modello di Governance e di valutazione dei risultati dello specifico ambiente business.
Intervenendo in queste tre aree fondamentali è possibile personalizzare il sistema di sicurezza in modo che risponda alle specifiche necessità di un’azienda e del suo modo di condurre il business e fare in modo che l’approccio basato sul Cloud diventi un’efficace leva competitiva.