Cloud, ancora tanta confusione
Aprile 2022
Indispensabile non improvvisare, ma formarsi e affidarsi a esperti
Di Sicurezza e Cloud si è detto molto negli ultimi anni, da quando il GDPR ha posto l’attenzione sulla protezione dei dati personali e sui vincoli consequenziali. Il Garante per la Privacy ha chiarito che, la scelta di utilizzare “servizi esternalizzati” non esime le imprese della responsabilità loro attribuite in materia di protezione dei dati personali.
Chi utilizza il Cloud non può quindi delegare la propria responsabilità sul dato, ma deve preoccuparsi di scegliere il fornitore di servizi in piena coscienza e conoscenza delle proprie responsabilità, quali: sapere come il fornitore gestisce il dato, dove lo conserva (il trasferimento di dati fuori dal perimetro della comunità europea e del GDPR crea non pochi problemi), le misure adottate a protezione del dato.
A fronte di benefici indubbi, l’adozione del Cloud, aumenta i rischi di una configurazione non appropriata, di un mancato controllo, o anche di un semplice errore di valutazione. È indispensabile non affidarsi all’improvvisazione, formare e certificare il proprio personale tecnico o affidarsi a consulenti preparati, pretendere servizi erogati nel rispetto delle normative e degli standard internazionali (ISO 27001 e l’estensione ai controlli cloud ISO 27017, per esempio). È fondamentale porre ancora di più l’attenzione alla security, non solo affidandosi alle nuove soluzioni nate per il Cloud – Cloud Access Security Broker (CASB) e Secure Access Service Edge (SASE) ne sono un esempio – ma ripensando i propri sistemi informativi, progettandoli con un occhio ai controlli di sicurezza – Security by Design. È inoltre fondamentale la consapevolezza, o “awareness”, di chi fa uso delle nuove tecnologie.
Quando si parla di Cloud ibrido, c’è sempre una certa confusione. Il Cloud computing ha portato una profonda revisione delle modalità consumo e gestione delle risorse. Il modello ibrido è caratterizzato dall’utilizzo combinato di risorse gestite on-premise (private cloud) e altre distribuite su uno o più cloud provider (public cloud). L’intero ecosistema ibrido, costituito da una molteplicità di risorse e servizi Cloud, opera come una sola infrastruttura, governata con tecnologie e policy coerenti con le strategie dell’organizzazione.
Per la maggior parte delle aziende, la scelta di adottare soluzioni di Cloud ibrido è dettata da ragioni quali l’esigenza di salvaguardare gli investimenti fatti sulle infrastrutture on-premise, la necessità di poter sfruttare la flessibilità offerta dal Cloud pubblico e non ultimo, per molti settori fortemente regolamentati, la possibilità di garantire la piena aderenza alle normative vigenti di trattamento dati e privacy. Naturalmente la sicurezza, oggi più che mai, rimane il tema più sentito, soprattutto in un ambiente ibrido, dove infrastrutture, workload, servizi e dati sono distribuiti, tra differenti cloud provider (multi-cloud) e datacenter proprietari.
È necessario adottare tecnologie di gestione della sicurezza per tutte le infrastrutture e carichi di lavoro sia locali che distribuiti su diversi cloud provider, per garantire protezione avanzata dalle minacce. In S3K abbiamo le competenze per guidare le aziende in questo percorso, attraverso consulenza, servizi professionali e un servizio di formazione, l’Academy S3K.