I segreti degli esperti per un cloud sicuro

Scopri il cloud sicuro

In primo luogo definiamo il termine cloud computing: si tratta di una tecnologia che consente agli utenti di immagazzinare documenti ed informazioni in rete senza alcun bisogno di spazio di conservazione in un determinato dispositivo proprio. In tal modo viene consentito a tutti gli interessati (interni ma anche esterni all’azienda) l’accesso semplice e globale alle informazioni.

La conservazione delle informazioni e la sicurezza del cloud sono soggette al quadro normativo vigente, che attualmente in Europa è rappresentato dal Regolamento generale sulla protezione dei dati (GDPR) e in caso di contenzioso ci si può appellare alla legislazione corrispondente in base al Paese in cui sono ubicati i server.

 

Il primo passo per un cloud sicuro

Prima di avventurarci nella conservazione di informazioni rilevanti o applicazioni in cloud, dobbiamo sapere cosa bisogna tener presente per eseguire tale operazione in maniera sicura e senza mettere a rischio l’azienda.

Come afferma l’esperto Jaime Gómez in primo luogo occorre sapere che la sicurezza delle informazioni non è prerogativa di un dipartimento specifico ma un elemento centrale nella cultura aziendale e, pertanto, tutti i dipendenti devono avere una formazione di base al riguardo. Jorge Sanz, da parte sua, considera che occorre realizzare un’analisi profonda delle necessità, uno studio sulle minacce ricorrenti ed assicurarsi quattro pilastri fondamentali: 

  • Governare i dati che si trovano in cloud.
  • Controllare gli accessi. 
  • Conoscere la disponibilità del materiale. 
  • Avere una risposta veloce a fronte di imprevisti e problemi.

Di norma, purtroppo, si mette da parte la pianificazione quando si crea un progetto. Dobbiamo sapere esattamente di cosa abbiamo bisogno e per quale motivo, preferibilmente con l’aiuto di un esperto in materia, spiega Javier Casares.

 
Il cloud è un modello di responsabilità condivisa tra fornitore e cliente. Gli accessi, la gestione degli utenti e dei dati sono responsabilità del cliente. 

Rames Sarwat, direttore di partenariati e nuovi prodotti presso ElevenPaths (Unità globale di cybersicurezza del gruppo Telefónica)

 

Come si sono evoluti i processi interni delle aziende?

Con la nascita delle nuove tecnologie e la conseguente preoccupazione per la sicurezza del cloud, i procedimenti interni e la pianificazione delle aziende hanno subito grandi cambiamenti.

Il passaggio dalla documentazione cartacea alla conservazione di dati elettronici, che richiede unicamente la presenza di un dispositivo con accesso ad internet, ha portato le aziende a prestare particolare attenzione ai dati che immagazzinano in cloud per garantire la confidenzialità delle informazioni e non subire hackeraggi.

L’uso del cloud computing sta riducendo la necessità di personale specializzato in ITC, cosa che comporta una riduzione dei costi ed un miglioramento della competitività semplificando, a sua volta, la trasformazione digitale dei processi impresariali anche delle piccole e medie aziende.

Stanno cambiando i processi, i professionisti, le responsabilità, i tempi e le leggi, afferma Jaime Gómez. Vediamo già aziende con più di mille lavoratori in cui tutti i dipendenti lavorano in remoto.

 
l cloud impone una comunicazione asincrona ininterrotta

Jaime Gómez

 

Molte aziende lasciano usare ai propri dipendenti computer o altri dispositivi personali, cosa che rende la rete fondamentalmente insicura

Javier Casares

 
 
Introducendo nuovi elementi, nuova architettura e nuovo modo di lavorare il cloud potrebbe aggiungere complessità alla gestione aziendale: è importante studiare bene il proprio caso e valutarne a fondo i benefit. 

Jorge Sanz, specialista in cybersicurezza presso Grupo Antolín e direttore del Master Indra in cybersicurezza della U-tad.

 

Un dispositivo può mettere in pericolo un’azienda al completo: vero o falso?

Qualsiasi elemento che si connette alla rete corporativa mette in pericolo l’azienda: stampanti, videocamere IP, vending machine, ecc. Finora la sicurezza veniva gestita in maniera perimetrale, stabilendo controlli alle entrate e alle uscite come firewell ed ipotizzando che ciò che si trovava all’interno della rete corporativa fosse sicuro. Questo modello si è evoluto a causa dei cambiamenti provocati da mobilità, cloud computing e IoT (internet delle cose) che fanno in modo che gli elementi da proteggere si trovino sia dentro che fuori l’azienda.

Ciò porta ad un nuovo modello di gestione della sicurezza in cloud chiamato Zero Trust, spiega Rames Sarwat, in cui ogni connessione od accesso viene verificato senza dare nulla per scontato. In tal modo si dà maggiore importanza alla gestione dell’identità, si esegue il controllo di chi si connette e si limitano dinamicamente le operazioni che si possono realizzare.

Jorge Sanz considera che il metodo di entrata può essere ingegneria sociale, phishing, sfruttamento di punti vulnerabili sul posto dell’utente, ecc. I dipartimenti di sicurezza hanno a disposizione tecnologie, processi e personale. Le persone, per mancanza di formazione o iniziative di presa di coscienza, sono indifese e rappresentano il punto debole della catena.

 
Nessuno in un’azienda dovrebbe manipolare informazioni senza un’adeguata preparazione. Occorre definire processi
interni consoni e robusti per un cloud sicuro

Jaime Gómez

Non bisogna delegare tutta la sicurezza di una postazione ad un antivirus, ma nemmeno prescindere da esso. 

Jorge Sanz

 
 
Quando parliamo di cloud sicuro l’essere umano è il punto debole. Se un utente non ha adeguata formazione si trasforma facilmente nel punto di accesso della maggior parte dei problemi. 

Javier Casares, responsabile di WPdanger e direttore operativo presso Brutal.systems.

 

È facile accedere ai dati altrui?

Può essere semplice o complicato a seconda dell’attenzione che pongono gli altri nell’evitare che i loro dati vengano esposti. Dobbiamo gestire diversi livelli hardware e software in cui possono trovarsi punti vulnerabili e difetti di configurazione che devono essere corretti.

Se gli addetti che si occupano di realizzare verifiche per un cloud sicuro possono accedervi in meno di tre mesi senza essere individuati, cosa non potrebbero fare- sottolinea Jorge Sanz- gruppi organizzati in grado di dedicare tempo e risorse per raggiungere tale obiettivo? Al giorno d’oggi gli investimenti per l’individuazione e la risposta agli imprevisti sono in crescita e ciò è dovuto al fatto che le aziende cominciano a capire che si tratta di situazioni che possono verificarsi e che è importante accorgersene tempestivamente e reagire in maniera corretta.

 
Un buon esempio è connettersi alla rete wifi di un aeroporto e realizzare una scansione: migliaia di dispositivi connessi, molti dei quali disponibili per il tuo accesso. 

Javier Casares

 
 
Si crede che dietro la crisi di sicurezza del cloud si nasconde sempre un criminale con profonde conoscenze. La realtà, tuttavia, è che nella maggior parte dei si tratta di “script kiddie”. 

Jaime Gómez, ingegnere tecnico di telecomunicazioni ed imprenditore in ITEISA.

 

Crittografia: funzionamento

La pratica più abituale per proteggere i nostri documenti è la coppia di chiavi, una pubblica ed una privata che funzionano congiuntamente. Quella pubblica può essere installata e distribuita, ma senza quella privata non è possibile eseguire alcuna operazione.

Questo sistema si basa sulla crittografia asimmetrica: una trasformazione matematica delle informazioni basata sulle proprietà dei numeri primi. I segreti di Stato e le tue foto vengono cifrati allo stesso modo su iCloud, spiega Jaime Gómez. Non è mai avvenuta alcuna crisi di sicurezza che sia stata originata dalla vulnerabilità degli algoritmi di crittografia asimmetrica. Possono verificarsi difetti nelle implementazioni, ma quasi sempre a sbagliare sono le persone: per negligenza, scarsa conoscenza o semplicemente per errore.

Molti di questi algoritmi vengono considerati sicuri poiché si basano su problemi matematici per i quali non è possibile trovare la soluzione in un lasso ragionevole di tempo; trovare la chiave provando tutte le possibili combinazioni comporterebbe impiegare, in alcuni casi, più di mille anni ricorrendo ai computer più potenti al mondo.

Jorge Sanz aggiunge che nell’ambito della crittografia esistono due opzioni, quella simmetrica in cui la chiave di codifica e decodifica è la stessa (AES) e quella asimmetrica in cui la chiave di codifica e decodifica è diversa (RSA). Ognuna di esse ha i propri usi e criteri di selezione e può variare per questioni quali rendimento, livello di sicurezza necessario, semplicità di funzionamento, ecc.

 

Il cloud ha sostituito l’antivirus?

In generale i dispositivi ed i servizi in rete stanno integrando misure di sicurezza in serie, cosa che fa sentire gli utenti maggiormente sicuri. Un antivirus ed un firewell costituiscono porta ed allarme di casa tua.

In alcune aziende si crede che possano essere sostituiti ma si tratta di un’idea erronea che mette in grave pericolo l’impresa, sostiene Rames Sarwat. Ogni strumento di sicurezza ha un proposito ed è stato ideato per prevenire o mitigare certi rischi. Gli antivirus o antimalware sono stati ideati per prevenire, individuare e rispondere al malware nei dispositivi che si connettono alle reti come server, computer, smartphone e tablet.

 
È importante risolvere la problematica dello scambio di chiavi in sicurezza quando ci sono più interlocutori. 

Rames Sarwat

 
 
Comparatore gratuito

Rispondi al questionario: la miglior soluzione di software per la tua impresa è a portata di click

Di quale soluzione hai bisogno?

Gestione d\'impresa ERP
Gestione d'impresa ERP
Marketing e commerciale CRM
Marketing e commerciale CRM
Gestione del personale HR
Gestione del personale HR
Gestione Magazzino WMS
Gestione Magazzino WMS
Contact center
Contact center
Documentale
Documentale
Flotta aziendale
Flotta aziendale
Punto Cassa
Punto Cassa
Contabilità & Consulenza
Contabilità & Consulenza
Hotel & Turismo
Hotel & Turismo
Agricoltura & Allevamento
Agricoltura & Allevamento
Approfondisci
Approfondisci
Domande: 1/8
Ti serve una nuova soluzione di software? Usaci: il nostro servizio è GRATIS e veloce! Ti servono solo  : 40 secondi

Il cloud sicuro: proteggiti dagli attacchi

Se sei il titolare di una piccola o media impresa, dovresti investire tempo e attenzione nello studio di guide e manuali sulla sicurezza cybernetica, sottolinea Jaime Gómez.

Successivamente fare uno sforzo reale per comprendere quale sia l’architettura delle informazioni della tua attività (sia a livello di dati personali che di altri tipi di informazioni aziendali) ed imparare come funzionano, almeno a grandi linee, i servizi digitali che utilizza la tua azienda. Leggi le politiche sulla privacy ed utilizza il tuo intuito piuttosto che affidarti ciecamente ad un servizio esterno. Infine inculca nella tua azienda una cultura del trattamento dei dati basata sulla sicurezza e sul senso comune, affinché ogni persona che abbia accesso ai dispositivi connessi ne sia partecipe e cosciente.

Da parte sua Rames Sarwat spiega che gestire la sicurezza non dipende dal fatto di essere o meno in cloud, ma piuttosto dalla conoscenza degli attivi di cui disponiamo e che vogliamo proteggere e dal fatto che abbiamo o meno valutato i rischi e stabilito un piano di mitigazione per ognuno di essi.

Non esistono formule magiche, ma esistono modelli di comportamento positivi come eseguire il backup delle informazioni, rendere consapevoli i nostri utenti, aggiornare i nostri sistemi, disporre di anti virus, monitorare sistemi ed usare l’autenticazione a due fattori per i nostri servizi.

Saremo sempre esposti agli attacchi per il mero fatto di essere presenti: non è necessario essere un obiettivo concreto per essere una vittima. “Avere una matrice di minacce e, in base ad essa, applicare misure di sicurezza per il cloud rappresenta un passaggio preventivo molto positivo per proteggersi ed essere sempre pronti”, sottolinea Jorge Sanz.

 
Il cloud sicuro: proteggiti dagli attacchi + infografica
 

Conservazione di dati in diversi Paesi

Il consiglio principale per evitare sorprese, secondo Javier Casares, è quello di avere i dati in Europa e fare uso di server che siano il più vicino possibile al tuo Paese. Nel caso in cui si lavori sulla rete è possibile configurare i sistemi allo stesso modo. Una buona idea è quella di replicare l’infrastruttura in modalità Disaster Recovery o High Availability.

L’ubicazione dei server è importante ed influisce sempre sulle aziende, afferma Rames Sarwat. Maggiore è la distanza, più le connessioni devono passare per diverse reti che generano latenza e ne inficiano la qualità. Ma soprattutto ciò avrà delle conseguenze negative sulle aziende a causa dell’esistenza di diverse legislazioni non uniformi. Per questa ragione i fornitori di cloud hanno creato datacenter in diverse regioni e Paesi, consentendo agli utenti di selezionare i luoghi in cui si ubicheranno i loro server; esistono, tuttavia, molti casi di software as a service che si prestano su internet in cui tale selezione non è possibile e ciò espone l’azienda a dei rischi.

Jorge Sanz crede che nell’uso del cloud l’ubicazione dei dati sia trasparente. GDPR è nato per proteggere i dati degli utenti dagli abusi, obbligando le aziende ad ottenere un consenso esplicito da parte degli stessi utenti finali affinché i loro dati vengano utilizzati per una finalità in concreto. Sebbene si tratti di una legge europea, l’ambito di applicazione è mondiale in quanto, in teoria, qualsiasi azienda che manipoli informazioni sugli utenti europei deve soddisfare tale normativa.

 
Il quadro normativo è importante. In Europa abbiamo introdotto il GDPR che è molto all’avanguardia rispetto alla normativa presente in altri Paesi, in particolare rispetto a quella degli USA. 

Jaime Gómez

Le password degli utenti non sono sicure. Il consiglio principale è quello di attivare un sistema 2FA (autenticazione a due fattori). 

Javier Casares

 
 
Per ricevere news, aggiornamenti e informazioni iscriviti alla nostra newsletter