Quali sono le sfide che i CISO devono affrontare quando si tratta di sicurezza dei dati nel cloud?

Due persone davanti a un notebook discutono delle sfide legate alla sicurezza dei dati nel cloud.

Gli ambienti ibridi e multi-cloud sono una realtà in molte aziende. E causano grattacapi ai CISO quando si tratta di rispettare la sicurezza dei dati. Infatti, le sfide in materia di cibersicurezza sono numerose in ambienti eterogenei.

Testo: Andreas Heer, Immagine: Swisscom, Data: 1. marzo 2024    5 Min.

Ci sono momenti in cui anche agli occhi degli specialisti IT il cloud sembra restare piuttosto nebuloso. Non trasparente e intangibile, come una nuvola in senso meteorologico. Questo succede sempre quando si tratta di farsi un’idea generale degli ambienti cloud (eterogenei).

Va da sé che la mancanza di trasparenza è tutto fuorché desiderabile quando si tratta di sicurezza del cloud. Infatti, vista la continua digitalizzazione, i requisiti di sicurezza dei dati sono aumentati quasi in modo esponenziale quanto la quantità dei dati stessi. In un ambiente basato sui dati, i dati devono essere disponibili e affidabili affinché l’attività funzioni.

A causa di questi fattori, la sicurezza dei dati è diventata più complessa nell’era del cloud. «In passato, quando i dati si trovavano esclusivamente nel proprio centro di calcolo, era sufficiente suddividerli in diverse aree di sicurezza», ricorda Alex Obrist, responsabile prodotto Managed Cloud and Security Services presso Swisscom. «Oggi, invece, i dati vengono classificati e categorizzati e verificati ruoli e identità al momento dell’accesso. Questo è il vero e proprio cambio di paradigma avvenuto con il cloud.»

Le sfide riguardanti la sicurezza dei dati negli ambienti ibridi e multi-cloud possono essere riassunte in inglese con le tre «C»: Complexity, Culture, Compliance. Nello specifico, la situazione è la seguente:

  • Complessità: Negli ambienti ibridi e multi-cloud, i dati vengono elaborati e archiviati in luoghi diversi, on-premise, nel cloud privato e pubblico. Ciò aumenta la superficie d’attacco, che viene presa di mira da attacchi informatici sempre più sofisticati e frequenti.
  • Cultura: Ambienti complessi aumentano il rischio di errori di configurazione che portano, ad esempio, ad avere AWS bucket o Azure blob facilmente accessibili via Internet. A questi si aggiungono i collaboratori che, per lo più involontariamente, non salvano i dati nel cloud con le misure di protezione necessarie. Secondo il Verizon Data Breach Investigations Report 2023, il fattore umano ha svolto un ruolo importante in tre quarti dei casi.
  • Compliance: Da un lato, i requisiti posti alle aziende aumentano costantemente a causa dell’inasprimento di normative e leggi, ad esempio con la nuova legge sulla protezione dei dati (nLPD) o la direttiva NIS 2 dell’UE. Dall’altro, verificare e far rispettare la compliance in ambienti diversi è impegnativo.

Legga questo articolo e quello successivo sulle best practice e gli approcci risolutivi, sfogliabili entrambi comodamente in formato PDF.

Ambienti cloud complessi ostacolano la sicurezza dei dati

La cibercriminalità è ormai un business. Il ransomware as a service, la suddivisione delle singole fasi di attacco tra specialisti e persino i call center delle bande di ransomware per i loro «clienti» ne sono la prova. Gli attacchi diventano sempre più estesi e le nuove falle nella sicurezza vengono sfruttate nel giro di pochi giorni. Gli attacchi avvengono spesso quando si presenta un’opportunità – guai alle aziende che non hanno patchato i propri sistemi in tempo.

Il 98 % degli intervistati ha riscontrato lacune critiche nei propri ambienti cloud a causa di errori di configurazione.

Fonte: (In)Security Report 2022 di Zscaler Cloud

Le configurazioni errate nel cloud pubblico semplificano il lavoro dei criminali informatici, soprattutto quando accedono all’infrastruttura di un’azienda (initial access). Un sistema di test poco protetto, un account webmail senza autenticazione a due fattori, aperto grazie alle credenziali ottenute tramite phishing: sono questi gli ingredienti di cui hanno bisogno gli aggressori per preparare il loro cocktail letale.

I criminali informatici approfittano del fatto che gli ambienti ibridi e multi-cloud diventano rapidamente molto complessi e quindi difficili da gestire. Una macchina virtuale di prova viene configurata più rapidamente di quanto non venga messa in sicurezza e documentata. Ed ecco che i responsabili della sicurezza si trovano a brancolare nel buio. La mancanza di visibilità rappresenta una sfida per le aziende, come afferma Alex Obrist: «Prima si aveva un approccio ben preciso in materia di archiviazione dei dati. Oggi esistono innumerevoli strumenti per identificare i dati nel cloud. Trovare quello giusto e utilizzarlo correttamente è una sfida.» La mancanza di visione d’insieme rende difficile per le aziende applicare policy uniformi e rispettare le direttive di compliance.

Le persone sono fondamentali per la cultura della sicurezza

Non è solo la distribuzione di dati e applicazioni a rendere l’ambiente IT complesso e difficile da gestire. A ciò si aggiungono i diversi approcci e sistemi di sicurezza dei fornitori di servizi cloud. Ciò richiede procedure diverse da parte dei provider di servizi cloud per raggiungere lo stesso obiettivo e proteggere l’ambiente cloud secondo le disposizioni. «Se un’azienda cerca di implementare i requisiti di sicurezza servendosi di più strumenti, rischia di perdere la visione d’insieme», spiega Alex Obrist.

Un panorama di strumenti così eterogeneo aumenta la probabilità di errore umano. Soprattutto se mancano gli esperti che conoscono bene i diversi fornitori di servizi cloud. Inoltre, le configurazioni errate sono tra i maggiori rischi per la sicurezza negli ambienti ibridi e multi-cloud. Secondo uno studio di Zscaler del 2022, gli ambienti cloud del 98% degli intervistati presentavano lacune critiche dovute a errori di configurazione.

Ma anche la perdita indesiderata di dati o la pubblicazione accidentale di documenti aziendali confidenziali rappresentano un rischio negli ambienti cloud, che ciò avvenga intenzionalmente o meno.

La questione della «conservazione dei dati in Svizzera» aggiunge un ulteriore livello di complessità. Chi ci garantisce che gli strumenti di sicurezza utilizzati siano effettivamente gestiti in Svizzera e che, ad esempio, il servizio SMS per i clienti non attraversi altri Paesi? Riuscire a vederci chiaro tra le diverse offerte presenti sul mercato è una vera e propria sfida, per di più molto faticosa.

La compliance vola alla cieca tra le nuvole

Il momento nebuloso menzionato all’inizio si presenta spesso quando è necessario dimostrare la propria conformità alle direttive di compliance. Senza visibilità e una visione d’insieme dell’intero ambiente IT non è possibile realizzare un monitoraggio completo. Tuttavia, questo è un prerequisito per rispettare la Data Governance, le normative e le direttive di legge. «Le aziende hanno bisogno di un inventario dei dati per poter proteggere questi asset. E per farlo serve visibilità», afferma Alex Obrist. «Per un’azienda per la quale la gestione di ambienti cloud non rientra tra le competenze chiave, è difficile mantenere una visione d’insieme.»

Gli stessi requisiti sono richiesti anche dalle certificazioni di sicurezza, come ad esempio ISO 27001. Si basano sulla compliance e su processi standardizzati e richiedono strumenti di controllo adeguati. Riacquistare la visibilità sull’intero ambiente dovrebbe quindi essere l’obiettivo primario di una strategia di sicurezza dei dati.

Sicurezza dei dati efficace in ambienti ibridi e multi-cloud

Gli ambienti ibridi e multi-cloud eterogenei richiedono nuovi approcci e strumenti per garantire e assicurare la sicurezza dei dati:

  • Security e Compliance by Design, per individuare gli errori di configurazione già prima che l’ambiente diventi operativo.
  • Fondamentale, nel vero senso della parola, è il monitoraggio che verifica lo stato dell’intero ambiente ibrido o multi-cloud. In questo modo si può dimostrare la corretta implementazione.
  • Per garantire l’applicazione in modo uniforme di misure di sicurezza, queste devono poter essere gestite e applicate a livello centrale.
  • Poiché i fornitori di servizi cloud si affidano a diversi approcci e strumenti, anche gli specialisti IT necessitano di una maggiore consapevolezza in materia di sicurezza. La formazione sulla Security Awareness dovrebbe quindi essere estesa di conseguenza anche agli esperti del settore.
  • In assenza di specialisti o di un reparto di cibersicurezza interno, non per tutte le aziende un’opzione sostenibile in termini economici, è possibile esternalizzare le mansioni al Managed Security Services Provider (MSSP).

«Le aziende devono poter decidere in modo centralizzato come proteggere questi dati, ovunque essi si trovino», riassume Alex Obrist. In questo modo le nuvole si diradano, consentendo così la visuale sull’ambiente cloud.

Leggete l’articolo che segue per scoprire quali best practice e approcci risolutivi le aziende possono adottare per garantire la sicurezza dei dati in ambienti ibridi e multi-cloud. Scaricate ora entrambi gli articoli.

Scarica subito la serie di articoli “Sicurezza dei dati”

Il suo link personale per il download del documento desiderato le è stato inviato per e-mail.

Le nostre norme sulla protezione dei dati, come anche l’informativa sulla privacy online e le possibilità di revocare il consenso al trattamento dei propri dati o di disdire l’abbonamento alla newsletter sono riportate qui: Norme sulla protezione dei dati (apre una nuova finestra)