Per la maggior parte delle aziende il passaggio al cloud non è una questione di tutto o niente e certamente non può essere fatto da un giorno all’altro. Oggigiorno, per molte organizzazioni che inizialmente hanno realizzato un ambiente cloud privato la crescita della fiducia verso questo paradigma le spinge a evolvere verso un modello ibrido costituito da una combinazione di servizi cloud pubblici e privati.
Qualunque sia il mix di servizi cloud scelto da un’organizzazione, la sicurezza non può essere considerata come elemento a sé stante. Dimension Data suggerisce di dare uno sguardo critico a quelle aree in cui le aziende possono incontrare difficoltà e ci ha illustrato quelli che ritiene essere gli elementi fondamentali per disporre di un ambiente cloud ibrido sicuro.
Valutazione e gestione del rischio
Sovente il passaggio verso il cloud subisce delle variazioni rispetto a quanto pianificato in quanto le organizzazioni non valutano attentamente l’impatto del trasferimento di alcuni asset particolari (servizi o dati) su cloud e suppongono che tale passaggio possa generare un più alto livello di rischio. Quello che viene richiesto è pertanto un’approfondita analisi del rischio. Dimension Data ritiene sotto questo punto di vista che, perlomeno idealmente, la valutazione debba includere i seguenti passaggi:
- Una definizione del rischio applicabile agli asset basata sulle criticità aziendali.
- Una valutazione dello stato attuale di ogni tipo di rischio prima di trasferirlo su cloud. Utilizzando questa informazione, ogni rischio può essere accettato, mitigato, trasferito o evitato.
- Una valutazione del profilo di rischio di ogni asset che si presume debba essere trasferito su cloud.
Il risultato consentirà alle aziende di confrontare i diversi livelli di rischio associati allo stato attuale ed alla soluzione cloud desiderata. In questo modo, per gli asset che presentano un profilo di rischio più elevato, l’ambiente cloud privato potrebbe risultare la scelta più consona. D'altro canto, le informazioni ottenute potrebbero anche portare alla conclusione che alcuni servizi o asset aziendali non debbano mai essere trasferiti su cloud.
Alcune valutazioni, mette in guardia Dimension Data, spesso rivelano che il passaggio al cloud potrebbe esporre le aziende a delle vulnerabilità in modalità che non erano state considerate originariamente. Contrariamente agli stereotipi comuni, la sicurezza non è però sempre un inibitore del cloud ma il successo risiede nella raccolta dei dati e nella gestione dei rischi in modo proattivo.
E’ inoltre importante considerare che un ambiente cloud ibrido può includere scenari in cui i cloud privati e le applicazioni abbiano delle “estensioni” in ambiti cloud pubblici per poter offrire la capacità aggiuntiva richiesta.
Questo aspetto viene frequentemente trascurato dalle organizzazioni ma rappresenta un beneficio importante nel passaggio verso il cloud. Ciò nonostante, è fondamentale che questi aspetti di flessibilità ed elasticità del paradigma cloud vengano considerati come parte integrante della valutazione di rischio generale.
Trasparenza del fornitore
L’importanza di una comunicazione chiara e trasparente da parte dei fornitori cloud relativa alla sicurezza inclusa nelle loro offerte non deve essere sottovalutata. Il cloud comporta la cessione di un livello di controllo. I provider dovrebbero fare in modo di condividere più informazioni possibili con i clienti ed i prospect in merito ai propri ambienti, offerte, controlli e configurazioni, con l’obiettivo di guadagnarsi la fiducia e mitigare qualsiasi difficoltà, già nelle prime fasi del ciclo di vendita.
Spesso, i costi nascosti sviano le implementazioni cloud. Dimension Data crede che le aziende necessitino di fornitori che non abbiano difficoltà a discutere di questi aspetti come parte del processo di negoziazione.
Un modo per i fornitori cloud per ottenere e mantenere la fiducia dei clienti è quello di formalizzare il processo di trasferimento. Una volta stabilite policy e procedure, è necessario pianificare incontri, revisioni e analisi periodici e valutare accuratamente tutte le aree che presentano un rendimento scarso o sono fonte di preoccupazioni.
I fornitori dovrebbero essere in grado anche di prevedere eventuali incidenti di sicurezza che si possono verificare e devono essere disposti e capaci di spiegare come questi hanno influito. Molto spesso, nella fase di valutazione dei fornitori cloud, gli esperti di sicurezza IT non sanno esattamente quali domande rivolgere ai possibili fornitori. Le domande che Dimension Data suggerisce di porsi si riferiscono a nove ambiti tecnologici specifici:
- Governance: la capacità di un’organizzazione di controllare e misurare i rischi aziendali introdotti dal cloud.
- Problematiche legali: normative e requisiti per proteggere la privacy dei dati, la sicurezza delle informazioni e dei sistemi.
- Conformità e verifica: mantenimento e dimostrazione della conformità nell’utilizzo del cloud.
- Gestione delle informazioni e sicurezza dei dati: gestione dei dati cloud e responsabilità per la confidenzialità, integrità e disponibilità dei dati.
- Portabilità e interoperabilità: la capacità di spostare dati e servizi da un fornitore all’altro o riportarli internamente.
- Business continuity e disaster recovery: le procedure e i processi operativi per la continuità del business e il disaster recovery.
- Data Center: la valutazione di tutti gli elementi dell’architettura data centre e delle attività dei fornitori che potrebbero influenzare negativamente i servizi in essere.
- Risposte, notifiche e rimedi degli incidenti: rilevamento, risposte, notifiche e risanamento adeguati degli incidenti.
- Sicurezza applicativa: proteggezione delle applicazioni software che girano o sono sviluppate su cloud.
- Crittografia e gestione delle chiavi di accesso: identificazione dell’utilizzo di crittografia più idoneo e gestione scalabile delle chiavi di accesso.
- Gestione delle identità e degli accessi: valutazione della prontezza di un’organizzazione di condurre la gestione delle identità, diritto e degli accessi basati su cloud.
- Virtualizzazione: i rischi associati all’isolamento o alla co-esistenza di macchine virtuali in ambienti multi-tenant, vulnerabilità hypervisor, ecc..
Policy e conformità
Ultimo punto, ma non meno importante dei precedenti, è l'argomento della conformità e delle policy. I fornitori cloud, evidenzia Dimension Data, devono comprendere che non è sufficiente elencare i certificati di conformità. In linea con i principi di trasparenza, descritti precedentemente, i fornitori dovrebbero avere un atteggiamento proattivo nel condividere le proprie implementazioni e i propri metodi di controllo in ambito security.
Se l’adesione a standard e normative dovrebbe essere l’elemento di base nella scelta di qualsiasi fornitore, questa da sola non è sufficiente per ottenere la fiducia dell’acquirente, che altro non chiede che vedere soddisfatti tutti i requisiti di conformità. Le organizzazioni dovrebbero quindi affidarsi ai fornitori che non solo danno prova delle loro certificazioni ma sono in grado di spiegare come raggiungono e mantengono i livelli di conformità, le problematiche che hanno affrontato in passato in quest’area e come le hanno superate.