Il cloud come abilitatore della trasformazione digitale

Le organizzazioni devono fare attenzione a quanto sia sicuro e protetto il loro cloud.
Il panorama della cybersicurezza è in continua evoluzione e tenere il passo non è semplice. La protezione ha un impatto diretto sulla reputazione e sui risultati di business di un’azienda, quindi è sempre più importante affrontare gli argomenti e le sfide di sicurezza in modo che tutti possano comprenderli, anche le figure meno tecniche.

Il cloud computing ha trasformato il modo in cui le aziende utilizzano, archiviano e condividono i dati, introducendo nuove minacce e sfide. A causa del volume di dati salvati nel cloud, è diventato naturalmente un obiettivo dei cybercriminali.
Ad esempio, strumenti cloud come Office 365 e GSuite sono ottimi a livello di collaborazione ed efficienza, ma se la persona sbagliata dovesse accedervi dall’account di un dipendente, un’azienda sarebbe davvero a rischio. Non solo perché l’aggressore avrebbe accesso ai dati sensibili nel cloud, ma perché potrebbe procedere con il furto dell’identità degli impiegati. Un account cloud compromesso può portare a frodi, violazioni dei dati e molto altro.

Si potrebbe pensare che gli unici bersagli siano dirigenti e manager di alto livello, ma non è così: i dipartimenti più colpiti sono operations e produzione, management e R&S/engineering.
I cybercriminali possono sfruttare differenti meccanismi per accedere ai dati, a partire dagli attacchi di phishing per furto delle credenziali. L’obiettivo di questi attacchi è il furto di credenziali degli utenti, attraverso l’appropriazione dell’identità di un’azienda di fiducia e la richiesta dei dati di login dell’account cloud su un sito fittizio.
Circa una persona su quattro aprirà un’e-mail di phishing e oltre il 10% cliccherà il link pericoloso o aprirà l’allegato “armato” incluso nel messaggio. Ciò significa che a un aggressore è sufficiente inviare dieci e-mail per avere il 90% delle probabilità di colpire un utente.
Diversamente, un brute force attack è un metodo utilizzato per individuare una password di accesso inserendo tutte le possibili combinazioni fino a trovare quella giusta. È un procedimento più lungo rispetto al phishing, ma spesso si rivela efficace, in quanto molti utenti utilizzano la stessa password su diversi account.
Esiste infine il rischio di una divulgazione intenzionale, o meno, di dati confidenziali in ambienti pubblici o non sicuri. Questo rischio non è esclusivo del cloud computing, ma è tra le prime preoccupazioni dei clienti di questa tecnologia. Le violazioni possono includere l’esposizione di informazioni e brevetti aziendali, dati personali sanitari, finanziari, proprietà intellettuale.

Il cloud come abilitatore della trasformazione digitale

Quale può essere la miglior difesa? Definire una strategia di sicurezza che abbia come primo obiettivo la protezione delle persone e non delle tecnologie utilizzate.

Parlare di cloud security significa parlare di privacy del dato, conformità ai regolamenti e di una variegata serie di attività preposte alla protezione degli asset (vedi per esempio la crittografia).
Come suggeriscono i principali fornitori di servizi cloud, i principi fondamentali possono essere riassunti in tre grandi macro-aree. La cloud security passa da un mix di soluzioni end-to-end, che include processi di identity management e l’autenticazione dei servizi (anche di terze parti). Abilitando processi di identity security è dunque possibile irrobustire l’integrità dei dati, mantenendo protetti gli asset confidenziali, e più importanti per il business dell’azienda, pur lasciandone pieno accesso agli utenti che ne hanno facoltà.

Proprio la gestione delle identità risulta cruciale, sia a livello di utente, sia di infrastruttura; si tratta di una componente che deve essere messa a punto per generare una reale protezione del cloud.
In ottica di sviluppo dei servizi cloud, l’autenticazione si sta evolvendo per risolvere le criticità tipiche dell’attuale modello basato su user/password. Ciò significa innescare meccanismi coordinati che includono strong authentication, risk-based authentication, l’analisi del comportamento degli utenti e l’aggregazione di più fattori.

Abilitando invece attività di stronger authorization è possibile irrobustire l’intero processo di accesso ai dati, una procedura che permea l’infrastruttura cloud e il dato stesso. In termini di data security è poi possibile ipotizzare l’abilitazione di più gradi di protezione, come richiesto nel caso di dati sensibili, da mettere al sicuro parametrizzando le architetture a livello di file, di campo e di blocco.

Altri parametri importanti per assicurare una cloud security realmente efficace includono l’isolamento dei dati (data isolation), essenziale quando più utenti si trovano a dover accedere a risorse condivise. Per migliorare la sicurezza in questi casi si possono abilitare differenti gradi di protezione sfruttando tecniche di cifratura, controllo degli accessi e virtualizzazione degli ambienti.
Oltre a solidi e dettagliati SLA, previsti nel contratto di gestione, è necessario validare l’intera architettura di security, con particolare scrupolo per ciò che compete la protezione di rete (firewall e accessi), ma anche a livello di rilevamento intrusioni e protezione da malware/virus. È bene considerare specifici piani per la business continuity e il disaster recovery, tasselli vitali per l’operatività d’impresa.