Sicurezza cloud in azienda: cos'è e quali misure possono prevenire i rischi

Con una mole sempre più grande di dati caricati "sulla nuvola", tuttavia, è chiaro che le opportunità per hacker e malintenzionati siano maggiori. E, non a caso, gli attacchi informatici sono in netta crescita nell’ultimo periodo. Specie se non viene posta particolare attenzione su misure e strategie di sicurezza del cloud aziendale.

Cos'è la cloud security? Quali aspetti vanno tenuti in considerazione e perché è importante avere maggiore consapevolezza delle azioni da intraprendere? È quello che stiamo per vedere in questo articolo.

Cos'è la cloud security

Per "cloud security" si fa riferimento all'insieme di tecnologie, protocolli e best practice che permettono di proteggere dati e informazioni in un'architettura cloud.

La sicurezza del cloud è una responsabilità condivisa. Da un lato, infatti, i fornitori dei servizi cloud devono garantire un'infrastruttura adeguata e protetta. Dall'altro, però, anche i fruitori devono utilizzarli nel modo corretto e implementare adeguate misure, essendo anch'essi responsabili della protezione delle applicazioni e dei dati gestiti.

La cloud security può essere diversa a seconda del tipo di servizio cloud e del modello di distribuzione. Facciamo subito chiarezza, vedendo una panoramica dei principali.

Tipi di servizi cloud

Sono costituiti da infrastrutture, piattaforme o software in hosting presso provider esterni e, tramite Internet, i diversi servizi vengono messi a disposizione dell'utente. I tipi di cloud computing possono essere divisi soprattutto in 3 categorie, ovvero:

• Infrastructure-as-a-Service (IaaS): il provider di servizi gestisce l'infrastruttura (quindi server fisici, reti, macchine virtuali, storage di dati, sistemi operativi) per conto del cliente, tramite connessione ad Internet. Spetta invece al cliente mettere in sicurezza ciò che viene aggiunto al sistema operativo, gestire gli accessi, i dispositivi e le reti degli utenti finali;
• Platform-as-a-Service (PaaS): pensato per gli sviluppatori e i programmatori, con questo servizio viene fornito un host ai clienti, che possono creare e ospitare le proprie applicazioni, senza dover creare e gestire l'infrastruttura di server, risorse di archiviazione, reti e database;
• Software-as-a-Service (SaaS): viene fornito al cliente l'accesso ad applicazioni software gestite dal provider di servizi cloud, senza necessità di un computer o di un server. Il cliente può accedere online (senza dover per forza installare un'app nei computer dei singoli utenti) controllando la configurazione del software ma senza mettere mano alla gestione dell'infrastruttura (esempi di SaaS possono essere Microsoft Office 365, Dropbox, iCloud, le app di Google, ecc).

Modelli di distribuzione

Oltre al tipo di servizio cloud, andrà poi definito il modello di distribuzione del cloud computing. In questo caso i principali metodi di distribuzione sono:

• modello pubblico: i servizi cloud vengono messi a disposizione da un fornitore esterno e sono disponibili a chiunque: gratuitamente o a pagamento. Alcuni esempi possono essere Microsoft Azure o Amazon Web Services;
• modello privato: i servizi cloud vengono messi a disposizione per l'accesso di una singola organizzazione, tramite Internet o una rete interna privata. Il cloud privato può essere gestito da un fornitore esterno oppure anche internamente dall'azienda stessa;
• modello ibrido: i servizi cloud vengono forniti combinando cloud privati (di terzi o in-house) con cloud pubblici, a seconda delle esigenze, sfruttando il meglio di entrambe le infrastrutture;
• altri modelli: community cloud, multi-cloud, poly cloud, HPC cloud... senza entrare nel dettaglio, basti dire che - oltre a quelle sopra citate - esistono anche altre soluzioni meno diffuse, che possono essere utilizzate in base alle necessità.

Sicurezza cloud: esempi di misure che possono prevenire i rischi

La sicurezza del cloud, come anticipato, riguarda un insieme di strategie volte a raggiungere più obiettivi.

Dalla protezione dell'archivio e della rete contro gli attacchi informatici al recupero dai dati eventualmente persi o rubati. Fino ad arrivare, in generale, a ridurre l'impatto di sistemi compromessi o di violazioni di dati personali.

Troppo spesso vengono effettuate migrazioni sul cloud senza prima aver valutato quali sono i dati e i processi da spostare e senza aver definito delle misure di cyber security adatte al proprio specifico caso.

Tutto deve iniziare, quindi, dalla consapevolezza di come i dati sono stati messi in sicurezza fino a quel momento, delle infrastrutture utilizzate e dei punti deboli sui quali è necessario intervenire. Avere, dunque, una fotografia della situazione attuale, per valutare quale servizio cloud offre adeguati livelli di sicurezza e pianificare una strategia di migrazione adeguata.

A seconda dei casi e delle esigenze, sono diversi gli strumenti che un'azienda può implementare per una solida cloud security. Di seguito riportiamo alcuni esempi:

• sistema Identity and access management (IAM), per la gestione di identità e accessi;
• micro-segmentazione, grazie alla quale viene divisa l'implementazione del cloud in segmenti distinti, fino al livello del singolo carico di lavoro, riducendo al minimo i danni di un eventuale aggressore;
• firewall di nuova generazione: rispetto a quelli tradizionali, aggiungono funzionalità avanzate, come filtri application-aware, ispezione profonda dei pacchetti, sistemi di prevenzione delle intrusioni, ecc;
• crittografia, in modo che i dati possano essere decodificati solo tramite apposita chiave;
• intelligence sulle minacce, monitoraggio e prevenzione, ovvero funzionalità volte ad analizzare il traffico per identificare, bloccare o quantomeno mitigare un attacco malware.

Tutela dei dati personali: la tua azienda è conforme al GDPR?

Tecnologie e dati sono risorse sempre più cruciali per le imprese e per il loro business. E questo, di conseguenza, può comportare gravi conseguenze in caso di incidenti o attacchi malware. Non solo dal punto di vista dell'operatività aziendale, ma anche sotto l’aspetto legale, a causa di eventuali violazioni di dati personali (data breach) secondo quanto stabilito dal GDPR.

Implementare strategie efficaci per tutelare i dati di clienti, fornitori e collaboratori – con adeguate misure di prevenzione e protezione - è un aspetto che non può essere trascurato.

Se vuoi capire se la tua azienda sta rispettando gli obblighi di legge in tema di privacy, e quali sono le eventuali azioni da intraprendere, non esitare a contattarci per una consulenza: i nostri esperti sono a tua disposizione per fornirti tutte le informazioni di cui hai bisogno.

 

Scritto da: Chiara Merci Consulente e formatrice esperta in igiene alimentare, sistemi di gestione e privacy, cantante e amante di musica e viaggi.