L'eccesso di cautela sulla sicurezza cloud rischia oggi di trasformarsi nell'estremo opposto. Esiste un approccio migliore.
I timori esagerati sulla sicurezza del cloud possono tradursi in costi elevati, tra spese inutili e occasioni mancate; allo stesso tempo, sottovalutare i rischi del cloud è altrettanto imprudente. In questo articolo spieghiamo perché è essenziale adottare un approccio equilibrato alla sicurezza cloud e illustriamo come le aziende possano ridurre al minimo i rischi senza rinunciare alle opportunità di business.
Dall'eccesso di prudenza a una pericolosa leggerezza
Quando, nel primo decennio del XXI secolo, i grandi provider hanno lanciato le loro offerte di public cloud, le aziende si sono mosse con cautela: sperimentavano, senza però abbracciare appieno le promesse del cloud. La spinta verso la digitalizzazione ha però reso le infrastrutture cloud un asset critico, e tale spinta si è ulteriormente intensificata con la pandemia. Le aziende hanno così rivisto le proprie strategie IT per spostare una quota crescente di applicazioni e dati su infrastrutture e piattaforme di public cloud.
Adottare il public cloud significa allontanarsi dai modelli tradizionali di cybersecurity costruiti negli anni. I meccanismi esistenti non sono stati pensati per garantire configurazioni sicure nel cloud, né per operare con la rapidità necessaria a sfruttare l'agilità e la velocità che il cloud promette. Le aziende che vogliono trarne valore devono quindi adottare architetture e processi di sicurezza nuovi per proteggere i propri workloads sul cloud.
Una volta predisposte strutture di sicurezza adeguate, la migrazione al cloud può accelerare la creazione di valore, ma è indispensabile che le pratiche adottate proteggano i dati critici senza rinunciare alla velocità e all'agilità che il cloud sa offrire.
Nelle prime fasi di adozione, molte aziende hanno probabilmente sopravvalutato i rischi. Le violazioni della sicurezza nel cloud hanno conquistato l'attenzione dell'opinione pubblica, spingendo alcuni CIO a limitarne l'uso. Tuttavia, l'imperativo della trasformazione digitale ha reso impossibile rispondere alle nuove dinamiche di business e di mercato senza ricorrere alle piattaforme cloud, e l'esitazione iniziale ha così ceduto il passo alla pressione commerciale.
Con il progressivo spostamento dei workloads verso il cloud, le violazioni di sicurezza restano un nodo aperto. Il Verizon Data Breach Investigations Report (DBIR) 2021 ha rivelato che l'infrastruttura cloud è coinvolta nel 73% degli incidenti di cybersecurity. Contrariamente a quanto questi dati potrebbero suggerire, l'architettura on-premises non è più sicura del cloud.
Individuare il problema
La maggior parte delle violazioni nel cloud nasce da errori di configurazione, non da attacchi diretti all'infrastruttura cloud sottostante. È un dato che mette in luce l'importanza del modello di responsabilità condivisa tra il provider di servizi cloud e i suoi clienti. Se da un lato il provider si occupa di proteggere i componenti che sostengono i servizi erogati, dall'altro spetta al cliente garantire un uso corretto di tali servizi. Le responsabilità del cliente comprendono la corretta configurazione di identity and access management (IAM), delle impostazioni di storage e compute, dell'analisi e difesa dalle minacce, oltre alla protezione di applicazioni e dati elaborati e archiviati nel cloud.
Man mano che provider e soluzioni di sicurezza cloud maturano e rafforzano la sicurezza dell'infrastruttura, la responsabilità delle violazioni si sposta sempre più sul cliente e sul suo approccio alla sicurezza. Le aziende abituate a modelli di outsourcing molto diversi dovranno comprendere la nuova ripartizione delle responsabilità e adeguare di conseguenza i propri processi interni.
Lacune nella sicurezza
La corsa al cloud, accelerata dalla pandemia globale, ha fatto emergere le carenze nella gestione della sicurezza. L'urgenza di approdare al cloud senza indugio ha avuto la meglio sulla valutazione dei rischi legati alla migrazione. Di conseguenza, molti progetti di migrazione e sviluppo non hanno dedicato sufficiente attenzione alle dipendenze di sicurezza prima del deployment, costringendo i team a tornare sui propri passi per correggere i problemi.
Si è creato uno scollamento tra i gruppi coinvolti nello sviluppo e nella migrazione, con scarsa coerenza nelle soluzioni di sicurezza adottate. Ogni team finisce così per scegliere gli strumenti che predilige, senza consultare un organo di governance centrale né coordinarsi con gli altri.
Sono proprio queste vulnerabilità che i cybercriminali stanno cercando attivamente di sfruttare, con conseguenze potenzialmente gravi. Nei prossimi anni è probabile assistere a violazioni dei dati ancora più estese e dannose. Secondo il 2022 Experian Data Breach Industry Forecast, le grandi istituzioni restano altamente esposte agli attacchi, con una quantità considerevole di dati sensibili ancora custoditi in sede. Le aziende devono farsi trovare pronte.
Il punto d'equilibrio tra avversione e tolleranza al rischio
Una violazione dei dati può azzerare ricavi, efficienza e reputazione. Ma proteggersi non deve significare paralizzare le iniziative cloud. L'eccesso di cautela porta a opportunità mancate e spese inutili. Invece di preoccuparsi di minacce ipotetiche, le aziende devono concentrarsi su come stanno usando il cloud, soprattutto perché molte delle loro pratiche e architetture di sicurezza tradizionali potrebbero non funzionare altrettanto bene in questo contesto. Le soluzioni on-premises che monitorano gli indirizzi IP, ad esempio, e altri strumenti tradizionali risultano inutili per container con un ciclo di vita di pochi minuti o secondi.
Una strategia cloud ben pianificata, che includa tattiche proattive e sistemiche di gestione del rischio, aiuta le aziende a prendere decisioni consapevoli sull'uso del cloud e a gestire l'esposizione al rischio senza rinunciare alle opportunità di crescita.
Misure per cogliere le opportunità in sicurezza
Misurare e gestire correttamente il rischio cloud resterà probabilmente una sfida per la maggior parte delle aziende ancora a lungo. Adottare un approccio che rafforzi la sicurezza senza intaccare i benefici del cloud richiede un cambio di mentalità: dal preoccuparsi della sicurezza intrinseca del cloud al garantire che l'azienda lo utilizzi in modo sicuro.
Coinvolgere il vertice aziendale
Una sicurezza cloud efficace parte dal sostegno e dalla sponsorship del top management. La strategia deve essere guidata a livello esecutivo e arricchita dal contributo di un ampio ventaglio di funzioni: management, finance, data architecture, sviluppo prodotto, IT, sicurezza e QA. È fondamentale che tutti condividano l'importanza del cloud computing per il business e si impegnino a sostenere una policy e un piano adeguati per gestirlo.
Con una guida esecutiva sulla strategia cloud, l'azienda può supportare in modo molto più efficace il business e l'IT nell'analisi dei requisiti, nella pianificazione architetturale e nei processi di accettazione del rischio, rendendoli più flessibili. I CIO disporranno così di una rotta chiara per orientare l'uso del public cloud, definendo la natura dei dati da collocarvi e le circostanze del loro utilizzo.
Vanno scoraggiati i silos, incoraggiando invece gli sviluppatori a collaborare a stretto contatto con i professionisti della sicurezza. Così gli sviluppatori imparano a operare in modo sicuro nel cloud, mentre i team di sicurezza possono verificare che le misure di protezione raccomandate vengano effettivamente applicate. Coltivando fin da subito questo tipo di relazioni, le aziende possono avviare il proprio percorso cloud su basi solide, ponendo le fondamenta per un rilascio dei prodotti rapido e sicuro.
Definire pratiche prudenti di gestione del rischio
Il rischio è una variabile inevitabile quando si utilizzano servizi di public cloud, e sarebbe avventato ignorarlo. Business e IT devono confrontarsi apertamente per stabilire quale livello di rischio l'azienda è disposta ad accettare. Il dibattito deve concentrarsi sull'impatto probabile di una violazione dei dati, sulla sua probabilità e sui costi del ripristino.
Occorre inoltre valutare la capacità del cloud provider scelto di sostenere il livello di propensione al rischio dell'azienda, tenendo conto dello storico di interruzioni di servizio e violazioni del provider stesso, delle sue policy di gestione e protezione dei dati e della coerenza del suo approccio alla sicurezza con gli obblighi normativi e legali dell'azienda.
Mantenere il controllo sul cloud
Entro la fine del 2025, il 90% delle organizzazioni che non governano l'uso del proprio public cloud condividerà dati sensibili in modo improprio. È un dato che fa riflettere e che evidenzia quanto sia difficile stare al passo con l'utilizzo del cloud. La maggior parte delle aziende è esposta a rischi evitabili a causa di un uso non autorizzato del public cloud. Si tratta di una situazione che si può evitare con DoiT Cloud Intelligence™, che mette a disposizione gli strumenti di governance necessari per gestire con successo il proprio ambiente public cloud.
Poiché la maggior parte dei fallimenti nella sicurezza cloud è riconducibile a errori del cliente, le aziende devono applicare con rigore le proprie policy di sicurezza, aggiornarle sulla base delle lezioni apprese e mantenere standard di certificazione e compliance sempre aggiornati. Non basta sapere dove si trovano gli asset e i servizi cloud: occorre conoscerne anche lo stato. È fondamentale sfruttare l'automazione per le verifiche di configurazione e sicurezza, mettendo a disposizione degli sviluppatori servizi di sicurezza altamente automatizzati tramite API per la massima efficienza.
Dove si trova il giusto equilibrio
È naturale preoccuparsi della sicurezza dei servizi public cloud, ma enfatizzarne i rischi può tradursi in occasioni perdute. Spingersi all'estremo opposto e sottovalutarli, però, può rivelarsi ancora più pericoloso.
Una strategia di gestione del rischio costruita su basi solide è un tassello fondamentale della strategia cloud complessiva di ogni azienda: aiuta a capire dove l'uso del public cloud abbia davvero senso e cosa fare per mitigarne i rischi.
Se ha dubbi sull'approccio della sua azienda alla sicurezza cloud, un partner di fiducia come DoiT può effettuare una revisione mirata e fornire raccomandazioni in grado di garantire un percorso cloud sicuro e redditizio.