Secondo il più recente studio di McKinsey dal titolo, “Security as code: The best (and maybe only) path to securing cloud applications and systems”, la la gestione della “Security as code” (SaC) permetta alle aziende di creare valore nel cloud in modo sicuro.
Catturare il valore del cloud richiede alla maggior parte delle aziende di integrare il cloud nel business e nelle tecnologie, guidarne l'adozione nei domini aziendali prioritari e stabilire le competenze fondamentali necessarie per estendere l'uso del cloud in modo sicuro ed economico.
La SaC è il meccanismo per sviluppare le competenze fondamentali in tema di sicurezza del cloud e gestione dei rischi. Offre tre benefici principali che consentono di estrarre valore dal cloud in modo sicuro: innanzitutto consente di operare a una maggiore velocità, in secondo luogo permette di ridurre il rischio e, infine, è un fattore di abilitazione del business, in quanto espande le opportunità di innovazione e creatività del prodotto senza comprometterne la sicurezza.
L'implementazione della SaC richiede un sostanziale cambiamento di procedure, architettura e cultura per quasi tutte le aziende. Per questo motivo, molte aziende hanno trovato utile utilizzare il quadro di riferimento della SaC per classificare i carichi di lavoro in base alla loro criticità e quindi applicare controlli specifici, in base al rischio del carico di lavoro e al tipo di implementazione.
Tale approccio fornisce un modello di architettura a prova di futuro e delinea le decisioni chiave da prendere per implementare in modo efficace ed efficiente la SaC attraverso vari casi d'uso in ambito automazione. Infine, il quadro definisce come il modello operativo dell'azienda deve cambiare per estrarre tutti i benefici dell'adozione del cloud.
Dopo aver classificato la sensibilità e la criticità del carico di lavoro e dei suoi dati, il passo successivo è quello di applicare politiche specifiche che possono essere istanziate come codice. Per arrivare a questo livello, le organizzazioni tipicamente devono affrontare tre step per ogni area di controllo: la prima è quella di identificare e scrivere nuove procedure che tengano conto delle tecnologie che non sono presenti on-premises.
Quindi, le aziende dovrebbero modificare le policy esistenti per gli ambienti on-premise per integrarsi con il contesto di sicurezza unico del cloud. Infine, tutte le policy, esistenti e nuove, devono essere scritte a un livello di dettaglio sufficiente a consentirne la traduzione in codice.
Una volta che l'organizzazione ha stabilito un solido quadro di classificazione del rischio e definito le sue politiche per il cloud, il successo dell'implementazione della SaC dipende dalle decisioni chiave in fase di progettazione architettonica e dall'esecuzione delle giuste soluzioni di automazione. Come per le procedure, sarebbe necessario mappare queste decisioni sulle aree di controllo prioritarie dell'organizzazione.
Quando si intraprende un viaggio verso il cloud e si adatta la sicurezza di conseguenza, la maggior parte delle aziende adotta un approccio technology-first. Per quanto sia importante il cambiamento tecnologico, tuttavia, le aziende devono evolvere il loro modello operativo per raggiungere l'automazione della sicurezza dell'intero ciclo di vita.
Il report conclude che troppo spesso la sicurezza è vista come un ostacolo all'adozione del cloud. Quello che dovrebbe essere un processo di implementazione senza soluzione di continuità che incorpora la sicurezza fin dall'inizio, diventa un procedimento prolungato alla ricerca di un equilibrio tra soluzioni cloud e meccanismi di sicurezza legacy.
Lunghe approvazioni che vanno dalle valutazioni di terze parti alle modifiche del firewall non solo diminuiscono la proposta di valore complessiva del cloud, ma aumentano anche la necessità di rischiose eccezioni di policy per soddisfare i requisiti aziendali. La SaC prova a capovolgere questa tendenza e posizionare i CISO come facilitatori del business.