IT Pro

Sicurezza e Cloud – Parte seconda – Dalla Sicurezza “in house” alla SaaS

Adottare gli standard aperti, come quelli per i Web Services basati su XML, che sono alla base anche dell’interazione tra  piattaforme IT e tra user  basata sul Cloud, permette alle aziende non solo di incrementare la produttività ma anche di rispondere rapidamente all’evoluzione delle esigenze di business e cogliere le opportunità nel momento stesso in cui emergono.

Cogliere le opportunità  costituisce  uno dei problemi più spinosi per i manager in un momento in cui non si può essere certi della rispondenza del mercato o di una sua area quando si lancia un nuovo prodotto o servizio, per quanta business analysis si sia fatta od utilizzato strumenti previsionali complessi, e non poterlo fare per mancanza di risorse materiali  è un fatto che  nessuna azienda si può più permettere.

Per sfruttare questo miglioramento nei processi di business, nella flessibilità e nell’efficienza dell’IT, prodotto dal passaggio ad un ambiente Cloud vanno però affrontati e risolti problemi chiave.

Tra questi, a puro titolo di esempio, la possibilità di realizzare in azienda servizi e controlli scalabili e di tipo pervasivo, il poter realizzare una solida sicurezza non solo di tipo perimetrale ma distribuita a tutti i livelli di business, avere la garanzia della disponibilità dei servizi a livello applicativo e infrastrutturale. Si tratta di punti non semplici da garantire sia per la vastità delle risorse coinvolte sia per la rapidità del cambiamento e che, congiuntamente, implicano il dover affrontare aspetti complessi.

Tra questi, la costante evoluzione degli standard internazionali, nazionali e di categoria, ad esempio quelli del settore finanziario o pubblico, gli investimenti in infrastrutture non ancora ammortizzate e il loro adeguamento al mutare di esigenze e delle normative (ad esempio per l’archiviazione sicura e la conservazione sostitutiva dei documenti), i problemi di una riorganizzazione interna e delle competenze richieste e, non ultimo, l’impatto sulle prestazioni complessive del sistema IT.

E’ in questo scenario che si cala l’interesse per servizi di sicurezza erogati tramite Cloud da service provider specializzati nel fornire sia soluzioni di sicurezza a livello applicativo sia infrastrutturale, in grado cioè di proteggere i dati sia quando vengono trasmessi o fruiti dalle applicazioni sia quando sono memorizzati in silos informativi o elaborate dai server.

“Security as a Service” è, in pratica, un termine che si riferisce alla fruizione di servizi di sicurezza tramite reti private o pubbliche ed erogati da un service provider, su base contrattuale fissa o on-demand, sia che si tratti di un centro servizi aziendale che di un fornitore terzo specializzato che lo eroga tramite un Public Cloud. Nel mercato consumer gli utilizzi più comuni consistono nella fruizione di applicazioni quali gli anti-virus, anti-spam o gli anti-spyware.

Più complessa è, invece, la declinazione nel segmento azienda, perché la sicurezza è in questo ambito un concetto che copre ad ombrello praticamente tutte le entità coinvolte in un’infrastruttura informatica, dalle piattaforme hardware ai software applicativi sino ai client fissi e mobile.

Quello che però è caratteristico di servizi di sicurezza fruibili tramite Cloud è che le applicazioni rese disponibili da provider Cloud sono state in ogni caso pensate per essere fruite tramite Web e comprendono classi di funzioni e applicazioni che rispondono alla necessità di disporre di:

  • Aggiornamento continuo, come per gli antivirus, le firme dei virus, eccetera.
  • Un elevato grado di esperienza che raramente è disponibile in ambito aziendale, ad esempio applicazioni di scansione dei sistemi informativi per rilevare minacce, la gestione delle patch, la gestione di soluzioni di business continuity, eccetera.
  • Il controllo di applicazioni che usano intensamente risorse e che può risultare più economico se dato in outsourcing. Un esempio è la gestione degli asset, il log di attività ed eventi che richiedono infrastrutture fisiche di supporto, servizi di autenticazione nell’accesso alle applicazioni, e così via.
  • Sicurezza in termini di continuità operativa e di disponibilità dei dati, come centri da cui prelevare in caso di disastro capacità elaborativa, salvare backup o fruire di client virtuali.

Si tratta di servizi che in ambito Cloud, a seconda della complessità specificità settoriale, possono essere fruiti su base contrattuale o richiesti su base on-demand.

In genere la tariffazione prevede sia un contributo sulla base del numero di utenti coinvolti che in base alle risorse (storage, server, client virtuali) fruite e in questo non si discostano da quanto avviene per gli altri servizi di Software as a Service. In ogni caso la fruizione di Security-as-a-Service può prevedere sia il demandare in toto gli aspetti inerenti la sicurezza al provider su Cloud che farlo in modo parziale o limitato nel tempo.