Oggi, a livelli diversi, l’adozione del Cloud si può definire universale. Che si tratti dell’uso di un semplice file repository, o di sistemi Infrastructure as a Service, le aziende che non ne sfruttano le potenzialità almeno in un ambito sono ormai una minoranza. Per dormire sonni tranquilli, tuttavia, è necessario applicare alcuni accorgimenti di Cloud Security, soprattutto in fase di configurazione e gestione.
I bisogni delle aziende in termini di Cloud Security
Prima di vedere le buone pratiche da mettere in campo, è necessario fare chiarezza su un punto: la sicurezza intrinseca del Cloud è elevata, mediamente più di quanto le aziende possono garantire al proprio interno usando soluzioni legacy o on premises. Il problema, nella maggior parte dei casi, risiede nella configurazione, nella gestione e nell’uso quotidiano. Per fare un esempio banale, anche il più sicuro dei Cloud non può nulla se un utente, avendone i permessi, decide di rendere una propria risorsa disponibile per chiunque la possa raggiungere attraverso il Web, senza credenziali.
Non stupisce, quindi, che fra i bisogni delle aziende in termini di sicurezza siano proprio la prevenzione dalle configurazioni errate, la compliance e la messa in sicurezza delle applicazioni utilizzate ad essere considerati prioritari. Sapendo questo, il “focus” della Cloud Security non può che essere considerato principalmente un tema di governance, ancora prima che un tema tecnico. Vediamo ora alcune buone pratiche da utilizzare per gestirla al meglio.
Conoscere i propri dati e approfondire i rischi del Cloud
Abbiamo accennato a come il Cloud sia intrinsecamente sicuro. Tuttavia, come sa perfettamente chi si occupa di sicurezza, il rischio zero non esiste. Per cui è necessario, prima di tutto, approfondire, o farsi aiutare ad approfondire, quali sono i principali punti di attacco e come prevenirli, per ciascuno dei prodotti e dei vendor utilizzati.
Un altro aspetto fondamentale, a livello di conoscenza preliminare, è un’analisi approfondita dei dati che l’azienda tratta, per tipologia, quantità, qualità e flussi. Solo così è possibile progettare (o revisionare) il proprio Cloud aziendale in modo adeguato, sia in termini dimensionali, sia in termini di sicurezza.
Mappare la propria infrastruttura Cloud per proteggerla meglio
Se l’azienda sta pensando di dotarsi di una infrastruttura Cloud, questo passaggio può essere fatto in fase progettuale. In alternativa, è necessario procedere a un assessment approfondito, il cui scopo è nella maggior parte dei casi quello di fare ordine fra prodotti e servizi, probabilmente adottati in tempi e con modalità diverse e la cui interazione, se non orchestrata, può introdurre falle di sicurezza e debolezze.
Il personale ha un ruolo chiave
Dal momento che la sicurezza del Cloud è principalmente un tema di governance, il personale ricopre un ruolo fondamentale. Prima di tutto è necessario conoscere a fondo il livello di competenza digitale di ciascuno, poi evidenziare i comportamenti a rischio, che possono derivare sia da scarsa competenza, sia da flussi di lavoro poco facilitanti. Per i secondi si può intervenire a livello di gestione e organizzazione, ottimizzandoli e rivedendoli. Per quanto riguarda le competenze, invece, dobbiamo sottolineare il ruolo chiave della formazione e dell’aggiornamento. Il personale, interno ed esterno, deve essere messo in condizione di conoscere e attuare le buone pratiche, attraverso un processo di change management che permetta a tutti di comprendere a fondo l’importanza della Cloud Security per l’azienda.
La sicurezza è un lavoro continuo
Infine, non bisogna dimenticare che, esattamente come in altri campi, la Cloud Security non è un lavoro a termine. Per esempio, il monitoraggio è fondamentale per identificare preventivamente eventuali rischi. Se, per esempio, una risorsa inizia a ricevere un numero eccessivo di tentativi di accesso non autorizzati, è probabile che sia in corso un tentativo di attacco, che rischia di passare inosservato se i warning vengono ignorati o, peggio, se non sono configurati correttamente.
Analogamente, le pratiche di backup e conservazione dei dati, oltre ad essere progettate e implementate, devono essere controllate periodicamente, per assicurarsi che le informazioni e i dati aziendali siano sempre al sicuro.
Un altro elemento che dovrebbe essere oggetto di controlli periodici sono credenziali e accessi. Non solo, per esempio, per quanto riguarda il personale che non fa più parte della struttura, ma anche per quanto riguarda l’accesso alle risorse. Basandosi sul principio Zero Trust, infatti, è indispensabile che ciascuno possa accedere al minimo indispensabile di risorse, con il minimo indispensabile dei privilegi. Questo per prevenire intrusioni e rendere più difficili pratiche comuni di attacco come il movimento laterale.
Tutto al sicuro! Pronti per dormire tranquilli
La Cloud Security, come qualsiasi pratica legata alla sicurezza, è soprattutto un tema di consistenza: meglio, insomma, dotarsi di un set di buone pratiche semplice e sostenibile nel tempo piuttosto che creare flussi e comportamenti complessi e laboriosi da mettere in pratica. Con pochi semplici accorgimenti, idealmente sotto la guida di un partner esperto, è possibile incrementare considerevolmente la sicurezza del proprio cloud e dormire finalmente sereni.
