Gli ambienti ibridi e multi-cloud sono una realtà in molte aziende. E causano grattacapi ai CISO quando si tratta di rispettare la sicurezza dei dati. Infatti, le sfide in materia di cibersicurezza sono numerose in ambienti eterogenei.
Testo: Andreas Heer, Immagine: Swisscom, Data: 1. marzo 2024 5 Min.
Ci sono momenti in cui anche agli occhi degli specialisti IT il cloud sembra restare piuttosto nebuloso. Non trasparente e intangibile, come una nuvola in senso meteorologico. Questo succede sempre quando si tratta di farsi un’idea generale degli ambienti cloud (eterogenei).
Va da sé che la mancanza di trasparenza è tutto fuorché desiderabile quando si tratta di sicurezza del cloud. Infatti, vista la continua digitalizzazione, i requisiti di sicurezza dei dati sono aumentati quasi in modo esponenziale quanto la quantità dei dati stessi. In un ambiente basato sui dati, i dati devono essere disponibili e affidabili affinché l’attività funzioni.
A causa di questi fattori, la sicurezza dei dati è diventata più complessa nell’era del cloud. «In passato, quando i dati si trovavano esclusivamente nel proprio centro di calcolo, era sufficiente suddividerli in diverse aree di sicurezza», ricorda Alex Obrist, responsabile prodotto Managed Cloud and Security Services presso Swisscom. «Oggi, invece, i dati vengono classificati e categorizzati e verificati ruoli e identità al momento dell’accesso. Questo è il vero e proprio cambio di paradigma avvenuto con il cloud.»
Le sfide riguardanti la sicurezza dei dati negli ambienti ibridi e multi-cloud possono essere riassunte in inglese con le tre «C»: Complexity, Culture, Compliance. Nello specifico, la situazione è la seguente:
Legga questo articolo e quello successivo sulle best practice e gli approcci risolutivi, sfogliabili entrambi comodamente in formato PDF.
La cibercriminalità è ormai un business. Il ransomware as a service, la suddivisione delle singole fasi di attacco tra specialisti e persino i call center delle bande di ransomware per i loro «clienti» ne sono la prova. Gli attacchi diventano sempre più estesi e le nuove falle nella sicurezza vengono sfruttate nel giro di pochi giorni. Gli attacchi avvengono spesso quando si presenta un’opportunità – guai alle aziende che non hanno patchato i propri sistemi in tempo.
Fonte: (In)Security Report 2022 di Zscaler Cloud
Le configurazioni errate nel cloud pubblico semplificano il lavoro dei criminali informatici, soprattutto quando accedono all’infrastruttura di un’azienda (initial access). Un sistema di test poco protetto, un account webmail senza autenticazione a due fattori, aperto grazie alle credenziali ottenute tramite phishing: sono questi gli ingredienti di cui hanno bisogno gli aggressori per preparare il loro cocktail letale.
I criminali informatici approfittano del fatto che gli ambienti ibridi e multi-cloud diventano rapidamente molto complessi e quindi difficili da gestire. Una macchina virtuale di prova viene configurata più rapidamente di quanto non venga messa in sicurezza e documentata. Ed ecco che i responsabili della sicurezza si trovano a brancolare nel buio. La mancanza di visibilità rappresenta una sfida per le aziende, come afferma Alex Obrist: «Prima si aveva un approccio ben preciso in materia di archiviazione dei dati. Oggi esistono innumerevoli strumenti per identificare i dati nel cloud. Trovare quello giusto e utilizzarlo correttamente è una sfida.» La mancanza di visione d’insieme rende difficile per le aziende applicare policy uniformi e rispettare le direttive di compliance.
Non è solo la distribuzione di dati e applicazioni a rendere l’ambiente IT complesso e difficile da gestire. A ciò si aggiungono i diversi approcci e sistemi di sicurezza dei fornitori di servizi cloud. Ciò richiede procedure diverse da parte dei provider di servizi cloud per raggiungere lo stesso obiettivo e proteggere l’ambiente cloud secondo le disposizioni. «Se un’azienda cerca di implementare i requisiti di sicurezza servendosi di più strumenti, rischia di perdere la visione d’insieme», spiega Alex Obrist.
Un panorama di strumenti così eterogeneo aumenta la probabilità di errore umano. Soprattutto se mancano gli esperti che conoscono bene i diversi fornitori di servizi cloud. Inoltre, le configurazioni errate sono tra i maggiori rischi per la sicurezza negli ambienti ibridi e multi-cloud. Secondo uno studio di Zscaler del 2022, gli ambienti cloud del 98% degli intervistati presentavano lacune critiche dovute a errori di configurazione.
Ma anche la perdita indesiderata di dati o la pubblicazione accidentale di documenti aziendali confidenziali rappresentano un rischio negli ambienti cloud, che ciò avvenga intenzionalmente o meno.
La questione della «conservazione dei dati in Svizzera» aggiunge un ulteriore livello di complessità. Chi ci garantisce che gli strumenti di sicurezza utilizzati siano effettivamente gestiti in Svizzera e che, ad esempio, il servizio SMS per i clienti non attraversi altri Paesi? Riuscire a vederci chiaro tra le diverse offerte presenti sul mercato è una vera e propria sfida, per di più molto faticosa.
Il momento nebuloso menzionato all’inizio si presenta spesso quando è necessario dimostrare la propria conformità alle direttive di compliance. Senza visibilità e una visione d’insieme dell’intero ambiente IT non è possibile realizzare un monitoraggio completo. Tuttavia, questo è un prerequisito per rispettare la Data Governance, le normative e le direttive di legge. «Le aziende hanno bisogno di un inventario dei dati per poter proteggere questi asset. E per farlo serve visibilità», afferma Alex Obrist. «Per un’azienda per la quale la gestione di ambienti cloud non rientra tra le competenze chiave, è difficile mantenere una visione d’insieme.»
Gli stessi requisiti sono richiesti anche dalle certificazioni di sicurezza, come ad esempio ISO 27001. Si basano sulla compliance e su processi standardizzati e richiedono strumenti di controllo adeguati. Riacquistare la visibilità sull’intero ambiente dovrebbe quindi essere l’obiettivo primario di una strategia di sicurezza dei dati.
Gli ambienti ibridi e multi-cloud eterogenei richiedono nuovi approcci e strumenti per garantire e assicurare la sicurezza dei dati:
«Le aziende devono poter decidere in modo centralizzato come proteggere questi dati, ovunque essi si trovino», riassume Alex Obrist. In questo modo le nuvole si diradano, consentendo così la visuale sull’ambiente cloud.
Leggete l’articolo che segue per scoprire quali best practice e approcci risolutivi le aziende possono adottare per garantire la sicurezza dei dati in ambienti ibridi e multi-cloud. Scaricate ora entrambi gli articoli.
Il suo link personale per il download del documento desiderato le è stato inviato per e-mail.
Le nostre norme sulla protezione dei dati, come anche l’informativa sulla privacy online e le possibilità di revocare il consenso al trattamento dei propri dati o di disdire l’abbonamento alla newsletter sono riportate qui: Norme sulla protezione dei dati (apre una nuova finestra)