Cloud: e la sicurezza cyber

di Alvise Biffi  - Imprenditore, business angel, Vice Presidente Assolombarda con delega ad Organizzazione Marketing e sviluppo e Consigliere delegato per la CyberSecurity di Piccola Industria Confindustria

Il cloud è ormai entrato nel vocabolario quotidiano di tutti (o quasi), ma pochi vanno oltre il concetto generale di “dati gestiti tramite internet” e ancora meno conoscono le sue implicazioni di sicurezza. Con cloud in realtà non si intende infatti solo lo storage, ma anche la capacità computazionale. 

La definizione da manuale dice: “l’erogazione di risorse informatiche on demand, a partire da un insieme di risorse preesistenti disponibili da remoto”. Grazie a questa tipologia di servizio gli utenti possono quindi utilizzare server fisici sparsi per il mondo attingendo potenzialmente a risorse e spazi “infiniti”, con la massima flessibilità, sia per scalare verso l’alto che per ridimensionare verso il basso.

Tipologie di cloud

Nel tempo si sono evolute 4 principali tipologie di cloud, tutte con in comune l’astrazione delle risorse scalabili dell’ambiente di elaborazione, la relativa organizzazione e la condivisione in rete (=internet). Ecco come si è evoluto il cloud nelle 4 tipologie evidenziate:

• cloud privato: in principio fu la “virtualizzazione”, vale a dire che partendo da un server fisico si è riusciti a moltiplicarlo virtualmente generando un numero crescente di “server virtuali” al suo interno grazie alle crescenti performance dei microprocessori. Il cloud privato era inizialmente situato fisicamente solo nel data center locale dell’azienda, poi si è evoluto in “hosting” presso un provider di servizi di terze parti, ma solo ad esclusivo uso dell’azienda. 

• cloud pubblico: sono gli ambienti basati su un’infrastruttura informatica che non appartiene all’utente finale. I principali provider di cloud pubblico annoverano in Italia TIM o Aruba (per fare un paio di esempi, non me ne vogliano gli altri provider) o i player di riferimento globale come Amazon Web Services (AWS), Google Cloud, IBM Cloud, Microsoft Azure.

• cloud ibrido: un mix tra le prime due, dove le risorse di cloud computing sono combinate tra l’infrastruttura locale, o un cloud privato, insieme ad un cloud pubblico. I cloud ibridi consentono di spostare dati, software ed applicazioni tra i due ambienti. 

• multi-cloud: quest’ultima tipologia è l’evoluzione delle precedenti, infatti è l’aggregato di più servizi cloud, che possono essere di natura sia pubblica che privata ma offerti da molteplici fornitori diversi simultaneamente.

Chi gestisce la sicurezza?

La sicurezza del cloud è la naturale necessità di difendere applicazioni, dati e infrastrutture virtuali da attacchi o violazioni che potrebbero intaccarne la disponibilità, l’integrità e la riservatezza. E’ intuitivo comprendere come un ambiente complesso come il multi-cloud, oltre alle enormi potenzialità ed ai vantaggi, presenti come rovescio della medaglia una superficie di attacco da proteggere e monitorare molto più ampia. In linea generale, per i servizi cloud, il responsabile della protezione dell’infrastruttura sottostante è il fornitore del servizio (quindi i provider come TIM, Amazon etc.), mentre il cliente ha la responsabilità di proteggere il software, le applicazioni ed i dati che utilizzano l’infrastruttura del provider.

Quali sono i principali rischi?

• Perdita di Visibilità: uno dei benefici dei servizi cloud è potervi accedere ovunque e da molteplici dispositivi, ma senza processi ben definiti si potrebbe perdere la visibilità completa di chi ha accesso al servizio o ai nostri dati. 

• Minacce Interne: collegate alla mancanza di visibilità per eventuali dipendenti infedeli o ad una non adeguata formazione che espone al rischio di ransomware attraverso phishing o utilizzo non corretto degli strumenti a disposizione. 

• Errata Configurazione dei Servizi Cloud: se i servizi non verranno configurati correttamente si potrà generare un’esposizione pubblica dei dati, la loro manipolazione o in casi estremi la cancellazione. 

Quindi da dove partire per una corretta gestione della sicurezza del Cloud?

La certificazione ISO 27017 

All’interno della famiglia delle ISO 27000 è presente una verticale specifica per il cloud, la ISO 27017. Lo standard introduce i requisiti di sicurezza per i servizi cloud integrandolo con le linee guida proposte nello standard ISO27002. L’ottenimento di tale certificazione è rivolto alle aziende che offrono servizi cloud, quindi affidarsi ad aziende provider che annoverano tra le certificazioni quella specifica della sicurezza del cloud è certamente una prima garanzia per un’infrastruttura costruita nel modo corretto, ma non basta. E’ importante seguirne le best practice, eventualmente in modo parziale in funzione delle nostre specifiche caratteristiche, anche per la componente di cloud privato nel perimetro aziendale, senza dimenticare di impostare processi organizzativi e procedure in linea ai rischi specifici, formare il personale ed analizzare e configurare correttamente le applicazioni ed i software con regolarità! Ricordate sempre che la misura della sicurezza è data dall’anello più debole della catena, quindi vanno analizzati tutti.