Estate 2020
Servizi - Sicurezza
 

03/07/2012

Share    

Cloud computing: ma come si proteggono i dati tra le nuvole?

Le scarse informazioni su privacy, compliance e sicurezza tengono lontano gli utenti

 

 

 

Le poche notizie su privacy, compliance e sicurezza tengono lontano gli utenti

 


Ruggero Vota

 

 

 

Nel nuovo mercato del cloud computing, l’aspetto che oggi rimane come fondamentale da chiarire in azienda è senza ombra di dubbio quello della sicurezza. Molte realtà se pur attratte dalle promesse della nuova modalità di fruizione delle risorse IT, rimangono oggi alla finestra proprio perché non hanno chiarito fino in fondo la problematica della protezione dei dati nei nuovi ambienti cloud.


In questa inchiesta, cerchiamo di contribuire a questa esigenza di chiarezza, interpellando proprio sul tema sicurezza alcuni dei protagonisti di questo nascente mercato che operano nel nostro Paese.

 

 

I timori delle aziende, le risposte dei fornitori

 


Per prima cosa abbiamo quindi chiesto ai nostri interlocutori quali sono le principali obiezioni che emergono sul tema sicurezza e cloud dai loro clienti, e quali quindi le assicurazioni che vengono fornite in proposito dalle loro organizzazioni.

 

 

“La prima eccezione che spesso si incontra in tema cloud è l’incertezza che scaturisce dal modello di gestione, poiché spesso non sono ancora chiari i meccanismi di gestione degli apparati, dei servizi e il modello di governance – spiega Marco Pacchiardo, italian security practice leader di BT Advise. Perché possa essere chiaro il modello di gestione della sicurezza IT deve essere in primo luogo chiaro il modello di gestione IT, ancor più necessario quando si tratta di cloud”.
Per questo motivo, quindi: “Affidarsi a un provider che offre servizi di sicurezza in the cloud è innanzitutto questione di fiducia e credibilità. La nostra proposizione di sicurezza in questo ambito è strettamente legata a due caratteristiche che offrono le migliori rassicurazioni. È direttamente connessa all’internazionalità che BT garantisce con 39 data center e 10 SOC distribuiti nel mondo (security operation center), tutti connessi dalla rete mondiale di BT. Questa configurazione non soltanto rassicura sul livello di sicurezza generale ma anche sull’uniformità del modello di gestione tanto dei servizi IT quanto della sicurezza. Ulteriore elemento distintivo è la sicurezza intrinseca che si genera dal fatto di poter sfruttare un’unica rete mondiale”.

 

 

“In questo momento di forte evoluzione cresce la consapevolezza delle potenziali problematiche legate alla protezione dei dati, cosa evidente sia a livello qualitativo, ovvero l’importanza che le aziende attribuiscono al dato, che quantitativo, ovvero l’incremento degli investimenti che si registra – racconta Stefano Galoppini, cloud business director di EMC. Per anni, EMC, la sua divisione di sicurezza RSA e VMware hanno sfruttato un bagaglio di competenze ed esperienze nella gestione delle informazioni, sicurezza e virtualizzazione tali da ottenere livelli eccezionali di controllo e visibilità nel cloud. Le nostre soluzioni sono strettamente integrate con la piattaforma di virtualizzazione di VMware per ottenere pieno vantaggio dalle straordinarie funzionalità di controllo e visibilità dello strato virtuale. Il cloud e la virtualizzazione offrono nuovi e potenti mezzi di gestione ed impiego delle informazioni digitali, ma creano al contempo delle complessità per le organizzazioni che devono mettere le informazioni giuste nelle mani giuste all’interno di un’infrastruttura del tutto affidabile. L’infrastruttura diventa virtuale, non è più fisica e le persone possono accedervi da dispositivi che sfuggono al controllo diretto dell’IT”.

 

 

“Il cloud computing inizia ad acquistare fette di mercato sempre più importanti e le percentuali di sistemi che vengono ‘spostati’ nelle nuvole, pubbliche o private che siano è in aumento – afferma Antonio Marsico, security & risk management practice manager technology services di HP Italiana. Nonostante ciò non tutti gli utilizzatori finali conoscono a fondo questo modello di delivery, una scarsa conoscenza che porta ovviamente a non comprendere i possibili problemi di sicurezza correlati. Inoltre non sempre sono chiari i rischi legati alla compliance legislativa che in Italia, come d’altronde in tutta Europa, è molto stringente e complessa. Proprio per questo motivo il nostro approccio ai clienti che decidono di far uso del cloud computing prevede come primo step sessioni mirate a far comprendere i rischi e le opportunità in ambito security e compliance collegati al cloud”.

 

 

Interesse a capire cosa cambia

 

 

“Dal nostro osservatorio emerge la necessità da parte delle aziende di approfondire la tematica, per capire se e come l’adozione del cloud computing possa mantenere un livello di sicurezza adeguato rispetto al business - dichiara Andrea Carmignani, security services sales manager di IBM Italia. C’è l’interesse a capire i cambiamenti in termini di sicurezza e questo è il mindset adeguato per affrontare un percorso corretto e sicuro verso il cloud computing, sia esso privato o pubblico. Ma soprattutto vogliono conoscere come IBM ha affrontato gli aspetti di sicurezza nei propri data center per il cloud e in quelli dei propri clienti. Per questo proponiamo alle aziende dei workshop in cui presentiamo l’approccio IBM, le nostre competenze ed esperienze e aiutiamo a capire come gestire la propagazione dell’identità, l’audit, la separazione dei dati all’interno di una infrastruttura cloud, sia essa privata, pubblica o ibrida, per trarre il massimo dall’utilizzo di infrastrutture cloud senza compromettere l’aderenza a normative e standard internazionali. Il risultato è una maggiore consapevolezza di cosa voglia dire sicurezza nel cloud, una maggiore capacità di discernere quali sono i veri punti di attenzione, non solo tecnologici ma anche organizzativi, e un maggior distacco dal falso allarmismo che purtroppo accompagna le discussioni attorno a questo nuovo modello di delivery dei servizi”.

 

 

“Oracle offre numerose delle proprie soluzioni software in SaaS e una piattaforma completa di prodotti infrastrutturali hardware e software che consentono a clienti e partner di costruire soluzioni PaaS e IaaS – spiega Domenico Garbarino, sales director security solutions di Oracle Italia. Abbiamo dunque esperienza diretta sia come fornitore di servizi cloud sia come vendor di tecnologie per l’implementazione di ambienti cloud. Nella nostra esperienza, le principali ansie delle organizzazioni riguardano sia la salvaguardia dei dati aziendali che la privacy degli stessi. Ciò risulta particolarmente rilevante quando l’azienda si trova a rispondere legalmente del trattamento di dati sensibili con riferimento a specifiche normative. La piattaforma proposta da Oracle permette di affrontare queste sfide a 360 gradi. E investiamo circa il 13% dei nostri ricavi nella ricerca e sviluppo di soluzioni innovative per garantire un approccio in totale sicurezza quale che sia la tipologia di cloud adottato, private, hybrid o public”.

 

 

“Le principali obiezioni riguardano la sicurezza delle piattaforme tecnologiche che garantiscono la sicurezza del dato e la governance complessiva del servizio – è l’opinione di Enzo Mario Bagnacani, responsabile infrastructure solutions della direzione marketing top clients and public sector di Telecom Italia. Relativamente alla prima, la Nuvola Italiana di Telecom Italia può garantire livelli di sicurezza unici sia rispetto ad altri provider sia alle piattaforme IT tradizionali adottate dalle aziende. Da un punto di vista di sicurezza fisica e logica per la gestione del dato, la Nuvola Italiana è protetta dalle migliori e più efficaci tecnologie in termini di virtualizzazione, segmentazione, hardening, firewalling, intrusion detection e prevention e Ddos mitigation, particolarmente costose e di complessa gestione. Il cliente che aderisce ai servizi della Nuvola Italiana può fruire, senza ulteriori impegni economici di queste funzionalità. Per quanto riguarda invece la governance del servizio, i clienti che aderiscono alle proposte della Nuvola Italiana non hanno motivo di preoccupazione perché i data center che ospitano la Nuvola risiedono sul territorio Italiano; inoltre gli strumenti, i processi e le control room che governano la gestione dei servizi sono certificati nel rispetto della normativa italiana”.

 

 

Come definire le priorità della sicurezza negli ambienti cloud

 


Il secondo passo per capire come i vari attori dell’offerta intervengono sul tema sicurezza, per definire al meglio le strategie cloud dei propri clienti, è stato chiedere quali processi e quali metodologie adottano quando devono affrontare la problematica.


“La nostra proposizione parte da una analisi di dettaglio delle esigenze IT, correlate strettamente con quelle di sicurezza – spiega Marco Pacchiardo. Un pacchetto denominato QuickStart ci permette in breve tempo di analizzare sia la configurazione IT che le caratteristiche di sicurezza e i livelli di rischio del cliente. QuickStart può essere declinato sulla base delle caratteristiche del cliente rispetto al proprio mercato verticale. È superfluo sottolineare che la possibilità di adattare l’analisi del QuickStart permette di porre massima attenzione alle esigenze di sicurezza specifiche dettate dal mercato in cui si trova il cliente. La fase finale di tale lavoro permette di modellare a priori scenari di rischio e di minacce e di poter quindi anticipare configurazioni sicure e definire le priorità delle eventuali contromisure necessarie. Una volta eseguita tale analisi, per garantire ulteriori esigenze di sicurezza, entrano in gioco tanto la rete sicura di BT, quanto le certificazioni di sicurezza che i nostri data center possono garantire. Tutti i nostri data center hanno infatti certificazione ISO27001 e supportano con agilità gli standard PCI. I nostri network e security operation center a supporto delle architetture in the cloud dei clienti sono in grado di lavorare secondo standard di sicurezza ISO e seguendo la compliance ITIL”.


“EMC, la sua divisione di sicurezza RSA e VMware hanno lavorato all’integrazione dei controlli di sicurezza, gestione e conformità nella piattaforma di virtualizzazione – spiega Stefano Galoppini. Stiamo sfruttando la virtualizzazione per potenziare la sicurezza, la gestione e la conformità del cloud. Identificare in modo intelligente quali sono le informazioni più preziose e ad alto rischio per regolarne di conseguenza il trattamento è una sfida che EMC si impegna a risolvere fin dagli albori del cloud. La suite DLP di RSA, per esempio, è stata appositamente progettata per rilevare l’ubicazione di informazioni regolamentate o delicate e per avvisare l’organizzazione di eventi ad alto rischio o di attività che potenzialmente violano le policy di governance. Attraverso RSA Cloud Trust Authority invece EMC mette a disposizione una serie di tecnologie e servizi nel cloud pensati per garantire relazioni sicure tra aziende e service provider facilitando il passaggio dei clienti alla nuvola”.


“HP offre ai propri clienti un programma ben definito HP Cloud Protection che si basa sulla metodologia Issm (information security service management) consolidata e frutto dell’esperienza di HP nel settore della sicurezza – dichiara Antonio Marsico. Il programma Cloud Protection è suddiviso in varie fasi: workshop, analysis, design e implementation. In prima istanza l’obiettivo è quello di far prendere consapevolezza al cliente dei rischi e delle opportunità che gli ambienti cloud rappresentano per temi come la sicurezza e la compliance. Questo è l’obiettivo dei CP Workshop, in cui i nostri esperti di sicurezza guidano una discussione del tutto agnostica da prodotti per presentare differenze/similitudini e vantaggi/svantaggi degli ambienti cloud rispetto ad altri modelli di delivery. Nelle fasi invece di analisi e design si lavora a stretto contatto con i clienti per calare le tematiche viste nel workshop nei differenti contesti che si possono presentare facendo leva sul framework HP di riferimento e le soluzioni che lo stesso prevede. Successivamente si passa all’implementazione dell’architettura di sicurezza che meglio si adatta al contesto del cliente e che garantisca il raggiungimento degli obiettivi prefissati dal cliente in termini di sicurezza e compliance”.

 

 

Le ragioni di una scelta senza compromessi sulla sicurezza

 


“Scendere a compromessi sul fronte della sicurezza può avere un impatto negativo sul business e l’operatività di tutta l’azienda; questo vale sia per l’IT tradizionale quanto per il cloud – afferma Andrea Carmignani. Innanzitutto è fondamentale capire ‘perché’ l’azienda vuole adottare il cloud e quali applicazioni saranno oggetto di una migrazione. IBM, con i suoi servizi di consulenza, aiuta le organizzazioni a comprendere, stabilire e delineare i passi per mettere in sicurezza gli ambienti oggetto di questa migrazione verso il cloud. Attraverso delle sessioni di lavoro, si definiscono quali sono gli obiettivi di sicurezza nel cloud, si identificano i problemi relativi alla privacy e alla sicurezza e si stabiliscono le strategie di riduzione delle vulnerabilità. Si sviluppa quindi una roadmap strategica di alto livello per la sicurezza. In secondo luogo si analizza ‘come’ si sta adottando il cloud, ovvero lo stato dei controlli, dei meccanismi e dell’architettura di sicurezza dell’ambiente cloud già realizzato o in via di realizzazione. Si opera quindi un confronto con le best practice del settore e quelle di IBM. Tenendo sempre conto gli obiettivi di sicurezza dell’azienda, vengono identificati eventuali scoperture e proposti i controlli di sicurezza più adeguati alla loro risoluzione. Il risultato: un cliente più conscio di cosa voglia dire proteggere in modo adeguato un ambiente cloud”.


“Insieme a sei partner italiani della Oracle Community for Security, la comunità dei nostri partner focalizzati sui temi legati alla sicurezza, abbiamo recentemente reso disponibile lo studio ‘Privacy nel Cloud’, volto a chiarire come gestire consapevolmente il passaggio al cloud computing in ambito aziendale – racconta Domenico Garbarino. Lo studio (scaricabile al link https://privacycloudmobile.clusit.it) analizza gli aspetti di utilizzo del cloud secondo il punto di vista di un’azienda italiana titolare del trattamento dei dati e fornisce quindi raccomandazioni a tutto campo per guidare le scelte delle nostre imprese. Quando si parla in particolare di rispetto della privacy dei dati, la sicurezza degli ambienti cloud va gestita prendendo in considerazione molteplici aspetti: legali, contrattuali, organizzativi, di analisi dei rischi, di audit e tecnologici. In questo senso lo studio, personalizzato per il nostro mercato, costituisce anche un supporto metodologico per le imprese che debbano affrontare queste tematiche".


“Per quanto riguarda le proposte della Nuvola Italiana indirizzate verso la clientela business e per le piccole medie imprese, Telecom Italia ha predisposto una serie di servizi cloud per i quali sono stati preventivamente studiati e valutati, tramite analisi di rischio dedicate, gli aspetti che riguardano sia la sicurezza del dato che la compliance – illustra Enzo Mario Bagnacani. Le metodologie adottate sono le stesse che Telecom Italia ha utilizzato per proteggere le proprie infrastrutture informatiche interne e sono le stesse previste dai principali modelli di certificazione (ISO/IEC 27000). Per quanto riguarda invece le proposte rivolte alle aziende di dimensioni medio-grandi, spesso le architetture IT dedicate del cliente si combinano, in configurazioni ibride, con i servizi cloud della Nuvola Italiana. Questi scenari sono in genere gestiti con progetti ad hoc. In questi casi Telecom Italia mette a disposizione le proprie competenze, gli strumenti e l’esperienza per costruire l’analisi del rischio e per gestire, a progetto, il relativo Piano di Sicurezza. In generale nella Nuvola Italiana, sia per i servizi rivolti alle piccole imprese sia per quelli dedicati alle grandi aziende, vengono effettuati periodici assessment di sicurezza, con lo scopo di verificare l’adeguatezza e l’eventuale aggiornamento delle soluzioni adottate".

 

TORNA INDIETRO >>