facebook twitter

Sicurezza nel Cloud. E' davvero tutto oro quello che luccica?

Secondo l'Istituto Nazionale degli Standard e della Tecnologia (1), "cloud computing è un modello per rendere disponibile l’accesso alla rete, in modo conveniente e su richiesta, a un insieme condiviso di risorse di calcolo (ad esempio: reti, server, sistemi di storage, applicazioni e servizi) che possono essere rapidamente fornite e rilasciate con il minimo sforzo di gestione o il minimo impegno del fornitore di servizi”. Altre organizzazioni adottano un approccio più semplice e definiscono il cloud computing come server virtuali disponibili su Internet. Indipendentemente dalla definizione, il cloud computing è un fenomeno che continua a crescere in popolarità nel mondo business.

I vantaggi del cloud computing sono innegabili. La tecnologia cloud offre maggiore flessibilità, consente agli utenti di usufruire di più mobilità, fornisce alle organizzazioni maggiore storage e riduce l'onere che grava sui reparti IT utilizzando i sistemi di calcolo convenzionale - il tutto ad una frazione di costo delle tradizionali tecnologie informatiche. Sono proprio queste necessità e la convenienza di avere in outsourcing tali requisiti che continuano a guidare il crescente utilizzo del cloud computing. Tuttavia, nessuna tecnologia è esente da possibili complicazioni. Man mano che le organizzazioni che si rivolgono al cloud computing aumentano, i rischi associati con l’utilizzo del cloud diventano sempre più evidenti, il più importante dei quali è la sicurezza.

La sicurezza dei dati è una componente non trascurabile per il successo del business. Le policy di sicurezza vengono sviluppate non solo per garantire la conformità dell’organizzazione a leggi e regolamenti ma anche per proteggere le informazioni sui clienti e sul business. Quando si utilizza il cloud per archiviare e processare i dati a distanza – a costi inferiori – le organizzazioni assoggettano le informazioni sensibili alle pratiche di sicurezza del service provider. In ultima analisi, la stessa organizzazione ha il compito di assicurarsi che sia posta in atto un’adeguata protezione e perciò qualsiasi outsourcing nello storage e nell’elaborazione dei dati comporta dei rischi.

I rischi associati con il cloud computing dipendono naturalmente da diversi fattori come il tipo di attività, la quantità di dati in outsourcing e il fornitore del servizio selezionato. Tuttavia, le principali preoccupazioni emerse riguardano questioni come la posizione, l’accesso e il recupero dei dati nel cloud.

In primo luogo, coloro che utilizzano il cloud non sono generalmente a conoscenza della posizione fisica dei dati affidati al fornitore del servizio. Nel corso del normale svolgimento dell'attività, l'ubicazione fisica dei dati può apparire irrilevante. Tuttavia, il luogo dove si trovano i dati determina il tipo di normativa applicabile per la loro protezione. I clienti possono inconsapevolmente trovarsi assoggettati ad un livello di sorveglianza diverso da quello che credono. In secondo luogo, i clienti del cloud devono informarsi su chi gestirà i dati archiviati in remoto. Le organizzazioni, dal loro punto di vista, mantengono il controllo sull’accesso degli utenti ma anche alcuni membri del team del fornitore del servizio acquisiranno l’accesso allo storage off-site. Infine, i clienti del cloud devono interessarsi alle pratiche e alle procedure adottate dal fornitore di servizio in materia di recupero dei dati in caso di violazione della sicurezza o perdita dei dati.

Questi rischi alla sicurezza rappresentano solo la punta dell’iceberg nella conduzione del business nel cloud. La continua crescita del mercato del cloud computing ha portato alla nascita di un movimento che sollecita pratiche di sicurezza standardizzate nel settore. Il Cloud Security Alliance (CSA) (2) è una organizzazione senza fini di lucro composta da importanti esperti in materia che è stata costituita per "promuovere un livello comune di comprensione tra i consumatori e i fornitori di cloud computing per quanto riguarda i requisiti di sicurezza necessari e le attestazioni di affidabilità." Il CSA è solo una delle organizzazioni che ha individuato la necessità di ridurre i rischi di sicurezza associati al cloud computing e anche se tali organismi hanno avuto un forte impatto sul settore, le norme sono ancora da emanare ufficialmente. In assenza di norme di sicurezza obbligatorie nel settore, i fornitori di servizi sono liberi di implementare protocolli che possono non aderire alle esigenze delle singole imprese. Indubbiamente, questi provider hanno valutato e sviluppato sofisticate procedure per la protezione dei dati contro i rischi alla sicurezza ma il nocciolo della questione rimane che si tratta di misure non standardizzate.

In definitiva, i clienti del cloud devono informarsi sulle politiche e le procedure di sicurezza dei fornitori di servizio e attivarsi per negoziare e inserire a contratto eventuali ulteriori misure di sicurezza ritenute necessarie. I notevoli risparmi sui costi associati alla tecnologia cloud sono un forte incentivo per le imprese a esternalizzare alcuni, se non tutti, i loro bisogni di archiviazione dati. Tuttavia, se non è possibile verificare che il livello di sicurezza offerto dal service provider si conforma con le policy dell’organizzazione e con i requisiti di norme e regolamenti, il risultato potrebbe essere un disastro per le società che utilizzano il cloud nel loro business. L'ignoranza non è felicità nel mondo del cloud computing. La sicurezza dei dati – e non il risparmio - deve rimanere la priorità per le organizzazioni che scelgono di entrare nel mondo del cloud computing.

(1) NIST Definition of Cloud Computing v15, available at http://csrc.nist.gov/groups/SNS/cloud-computing
(2) http://cloudsecurityalliance.org

Nota: il presente articolo è stato tradotto dall’inglese dal sito di Kroll Ontrack Inc. L’articolo in forma originale è disponibile alla pagina www.krollontrack.com/resource-library/security-in-the-cloud/