Contrastare i cyber attacchi prima che intacchino l’infrastruttura dei clienti: quando si tratta di misure di sicurezza, è questo il chiaro compito che devono svolgere i provider di servizi cloud. Ma Cloud Security si spinge ben oltre e affianca le imprese dei clienti anche in ambiti non altrettanto scontati.
Se la vostra azienda non è stata colpita da ransomware come Petya o WannaCry, tre sono le possibili spiegazioni: non siete stati attaccati, avete implementato opportune misure di sicurezza oppure siete stati tutelati dalla protezione già inclusa offerta dal vostro provider di servizi cloud. Mentre le piccole aziende possono non essere il principale obiettivo di attacchi malware, la situazione nel caso delle organizzazioni più grandi è ben diversa, come ha dimostrato l’esempio di Petya. «Abbiamo riconosciuto precocemente la minaccia e siamo riusciti a reagire prima che il ransomware arrivasse ai nostri clienti», ricorda Tobias Langbein, architetto della sicurezza IT di Swisscom. In pratica è stato possibile bloccare gli indirizzi dell’attacco e aggiornare per tempo la firma del virus così da arrestare gli attacchi al cloud e ai sistemi dei clienti.
Protetti dai cyber attacchi
Siamo a vostra completa disposizione
Volete sapere quali possibilità offre il cloud alla vostra azienda? I nostri consulenti per le PMI saranno lieti di assistervi.
Anche una stretta collaborazione e l’adozione periodica degli aggiornamenti di sicurezza del produttore software possono contribuire al riconoscimento tempestivo degli attacchi. Proprio nel caso dei cyber attacchi, la capacità di reagire precocemente risulta decisiva, come spiega Langbein: «Reagendo a livello preventivo e adottando misure di sicurezza opportune, siamo in grado di evitare possibili danni reali causati dall’interruzione di sistemi aziendali critici.»
Ciò non si limita alle minacce di ransomware e altri virus: anche gli attacchi DDoS, dove i sistemi vengono inondati di richieste venendone paralizzati, possono essere bloccati per tempo grazie all’individuazione tempestiva della minaccia. Le competenze in ambito di sicurezza e il dispositivo tecnico di sicurezza di un provider di servizi cloud vengono quindi direttamente in aiuto dei clienti i cui sistemi e applicazioni sono localizzati nel cloud. Gli utenti possono usufruire dei vantaggi offerti senza dover sviluppare internamente l’infrastruttura e il know-how tecnico necessari.
La sicurezza del cloud è molto più di una semplice protezione da malware.
Ma la protezione dai cyber attacchi è solo un tassello del puzzle rappresentato dall’intero sistema di sicurezza del cloud, che da un lato prevede misure tecniche per la tutela dagli attacchi e per garantire la protezione e la disponibilità dei dati e, dall’altro, contempla anche controlli degli ingressi al centro di calcolo stesso. Questi interventi sono necessari, nonostante gli attacchi avvengano per lo più via internet, come ci spiega Langbein: «Le misure di sicurezza devono tenere conto di tutti gli aspetti o ci risulterebbe impossibile garantire la massima sicurezza.»
Infatti non è sufficiente limitarsi ad adottare determinate misure di sicurezza: è anche necessario documentarne l’efficacia. La prova dell’effettiva validità delle misure adottate viene definita con il termine di compliance. Le basi di tale approccio sono costituite dagli standard ISO e dai requisiti normativi il cui rispetto viene verificato attraverso uffici di controllo nel quadro dei cosiddetti audit. «Garantiamo per contratto ai nostri clienti il rispetto degli standard di sicurezza», afferma Langbein, «osservanza che possiamo documentare attraverso gli audit.»
La compliance è utile anche per le aziende che per i propri dati non necessitano di definire requisiti di sicurezza altrettanto elevati quanto quelli delle banche. Si tratta in particolare di PMI che operano autonomamente come fornitori o prestatori di servizi di grandi aziende: «Queste PMI devono spesso confrontarsi con requisiti di compliance che riescono solo con difficoltà a comprovare direttamente», commenta Langbein. «In qualità di provider di servizi cloud, siamo in grado di produrre tale attestazione per i nostri clienti.»
Sicurezza dei dati: il bene più prezioso
Per poter soddisfare i requisiti più severi, è necessario prendere in considerazione gli aspetti relativi alla sicurezza già in fase di pianificazione del cloud. «Un elemento fondamentale a tal proposito è rappresentato dal fatto che le infrastrutture dei clienti sono talmente separate l’una dalle altre da non rendere possibili accessi indesiderati», afferma Langbein. Tra le sue mansioni vi è anche la consulenza progettuale ad architetti cloud al fine di garantire tale livello di isolamento. Ciò si concretizza mediante l’impiego di hardware e software che isolano l’uno dall’altro i sistemi di archiviazione e i server virtuali dei singoli clienti nel cloud.
Ma cosa succede se un bug causa una falla indesiderata nell’hardware o nel software? «In questi casi veniamo informati tempestivamente dal produttore e siamo in grado di sanare la falla», afferma Langbein. L’efficacia degli interventi viene controllata per mezzo dei cosiddetti test di penetrazione, dove un esperto di sicurezza IT tenta di penetrare in un sistema, chiaramente con un mandato ufficiale. In tal modo è possibile individuare ed eliminare i punti deboli. Ma non solo: «In occasione di questi test ci è capitato di trovare lacune di cui non era a conoscenza nemmeno il produttore stesso», dice Langbein sorridendo.
Archiviazione e backup dei dati
Con Swisscom memorizzate i vostri dati in modo sicuro nel cloud in un data center svizzero. E il backup automatico nel cloud protegge la vostra azienda dalla perdita di dati.
Attraverso l’isolamento dei sistemi è possibile assicurare che solo il cliente possa accedere ai propri dati. Affiancato alle misure per la tutela dalla perdita di dati, ad esempio in caso di guasti dell’hardware, tale approccio è così in grado di garantire la sicurezza dei dati. «Per noi provider di servizi cloud questo aspetto rappresenta il bene più prezioso per garantire la fiducia dei nostri clienti», afferma Langbein.
Misure di sicurezza nei centri di calcolo
Per misurare il livello di sicurezza e disponibilità di un centro di calcolo vengono impiegati i cosiddetti tier level che contemplano anche il controllo degli ingressi e la protezione antincendio. Per la gestione di applicazioni aziendali di rilevanza centrale nel cloud, il centro di calcolo dovrebbe essere certificato per il tier level 3, il secondo livello più elevato. Il livello massimo, il tier level 4, è un requisito utilizzato nell’ambito dei dati sensibili di clienti quali banche, assicurazioni e istituzioni del settore sanitario. Di tale certificazione è in possesso, ad esempio, il centro di calcolo Swisscom di Wankdorf. I certificati ISO comprovano invece la tutela tecnica dell’infrastruttura, sono quindi marchi di qualità per il settore informatico. La norma più importante in tale ambito è la ISO 27001, che descrive i meccanismi di protezione e i processi della gestione della sicurezza.
«Swissness» per esigenze locali
Le certificazioni e gli audit rendono trasparenti le misure di sicurezza, trasparenza che genera a sua volta fiducia. Ed è chiaro che le aziende esigono il rispetto degli standard di sicurezza da parte del proprio fornitore di servizi cloud. Ma stando a Langbein, le esigenze si spingono ben oltre le misure di sicurezza: «I nostri clienti si aspettano da noi una garanzia di ‹swissness›.» Da un lato ciò significa che i dati vengono salvati in Svizzera e che la sede contrattuale e il foro competente risiedono in territorio svizzero. Alcuni clienti, tuttavia, chiedono anche che si possa accedere ai dati esclusivamente dalla Svizzera.
Questi aspetti di «swissness» sono proprio ciò che distingue Swisscom dagli altri fornitori di servizi cloud. O, usando le parole di Langbein: «Offriamo servizi di cloud locali per aziende con specifiche esigenze locali.»
Le immagini illustrano l’Operation Control Center di Swisscom in cui viene monitorata anche l’infrastruttura cloud.