L'interesse per il cloud computing ha raggiunto livelli altissimi; molti lo considerano un modo molto più semplice ed economico per fornire servizi IT, ma alcune aziende ne hanno paura. Perché? Un sondaggio IDC condotto nel 2008 tra i professionisti IT ha individuato il motivo più importante: la sicurezza.1
Se state pensando di adottare i servizi cloud, assicuratevi di aver compreso bene le implicazioni per la sicurezza. Ecco cinque rischi per la sicurezza da non sottovalutare, insieme a consigli pratici su come gestirli.
Guardate alcuni estratti di una conversazione sulla sicurezza aziendale tra McAfee, HP e Qualcomm. Il CIO di Qualcomm parla del passaggio a una soluzione di sicurezza aziendale integrata.
I cinque rischi per la sicurezza da considerare
Quando si utilizza il cloud, è molto importante sapere dove sono i dati, come sono protetti e chi può accedervi. Purtroppo, molti provider di servizi cloud non rendono note queste informazioni e, ancora peggio, molti non garantiscono neppure di proteggere i vostri dati.
Se un approccio multivendor alla sicurezza IT dell’azienda rende difficile l’individuazione di un unico interlocutore responsabile, il cloud è ancora più rischioso. Scegliete il provider di servizi sbagliato e non avrete alcun punto di riferimento.
Prima di valutare che tipo di sicurezza offre un provider di servizi cloud, è necessario conoscere i principali rischi.
Protezione dei dati e gestione della privacy
Molti provider di servizi cloud non offrono accordi sui livelli di servizio (SLA). Questo significa che non si hanno garanzie riguardo alla disponibilità dei dati, alla privacy o alla protezione dei dati.
Governance, rischio e conformità alle normative
Affidare i vostri dati a un provider di servizi cloud non significa non dovervi preoccupare della loro protezione: il cloud presenta infatti dei rischi che alcuni provider di servizi potrebbero non gestire. Per esempio, gli schemi di registrazione e conservazione dei dati di un provider di servizi cloud potrebbero non soddisfare gli obblighi normativi. Se il vostro provider di servizi cloud non registra i dati in modo completo o accurato, potreste risultare non conformi a un controllo di sicurezza.
Gestione delle identità
Una volta che i vostri dati sono all'interno del firewall del provider di servizi, chi può accedervi e in quali circostanze? In quanto tempo il provider di servizi è in grado di fornire l'accesso? E, cosa più importante, con che velocità è in grado di rimuovere l'accesso a livello di amministratore e utenti? Le vostre policy di autorizzazione potrebbero essere molto restrittive, ma quelle del vostro provider di servizi potrebbero essere al di là del vostro controllo.
Sicurezza dell'infrastruttura
Le applicazioni e i dati affidati a un provider cloud si trovano su server e dispositivi di storage che non sono stati scelti né vengono gestiti da voi. La maggior parte dei vendor non vi offre visibilità al di là delle vostre risorse virtuali. Come fate quindi a valutare la sicurezza di questo hardware fisico? Come potete sapere se la vostra applicazione viene eseguita su un sistema operativo dotato di tutte le patch necessarie e non su uno a rischio?
Idoneità
Introdurre indiscriminatamente un'applicazione nel cloud non è un modo intelligente per valutarne l'idoneità. Tuttavia, pochi provider di servizi offrono il tipo di valutazione necessaria per determinare se un'applicazione è pronta per il cloud.
Come ridurre i rischi
Il cloud computing non deve necessariamente essere rischioso. Con il giusto provider, il cloud può mantenere la sua promessa di servizi IT più affidabili, flessibili e semplici da gestire. Tuttavia, molto dipende dalla vostra preparazione e dalla scelta del provider di servizi.
Classificazione
Quando prendete in considerazione un servizio cloud, per prima cosa classificate i vostri dati per determinare la loro idoneità per il cloud. L'analisi costi-benefici è una parte importante di questo processo. Il risparmio che ottenete spostando i dati sul cloud è superiore al rischio di violazione delle normative di sicurezza o privacy?
Valutazione
Trovate un provider di servizi che svolga valutazioni di sicurezza per determinare se la vostra applicazione o i vostri dati sono pronti per il cloud. I migliori provider di servizi determineranno a quali normative è soggetta la vostra azienda e vi aiuteranno a rispettarle.
Iniziate con i dati non riservati
Non iniziate la vostra avventura nel cloud con applicazioni che contengono informazioni relative alle carte di credito o ai conti bancari dei vostri clienti, iniziate piuttosto con le applicazioni meno rischiose finché non sarete in grado di gestire in sicurezza il modello e i servizi del vostro provider.
Valutate in modo critico le condizioni del provider di servizi
Scoprite come il vostro provider di servizi intende esattamente garantire la sicurezza dei vostri dati e mantenerli riservati nel cloud. Se i vostri dati sono cruciali per l'azienda, esigete solide garanzie dal vostro provider, ad esempio adeguate condizioni per l’utilizzo del servizio (TOS), criteri di utilizzo accettabili (AUP) e livelli di servizio (SLA).
Crittografia
Non delegate la crittografia al vostro provider di servizi cloud. Assicuratevi di adottare strumenti per la gestione del ciclo di vita. Inoltre, utilizzando come guida il lavoro di classificazione, crittografate i vostri dati in modo corretto e in base alle necessità.
Insistete sulla trasparenza
Pretendete di sapere cosa accade nell'infrastruttura fisica che sta alla base dell'infrastruttura virtuale.
Tutelatevi
cercate servizi cloud che gestiscono tutti questi rischi e offrono lo stesso livello di protezione e disponibilità dei dati del vostro data center.
