Alla fine del 2022, Gartner ha previsto per il 2023 un aumento del 20% degli investimenti nel cloud pubblico su scala globale. La crescita prevista ha sollevato numerose domande, anche alla luce del fatto che la filosofia del “tutto sul cloud” viene messa sempre più spesso in discussione. Perché? Perché le questioni legate alla governance, alla conformità e alla sicurezza dei dati in generale danno luogo ad altrettanto numerose domande in relazione ai crescenti rischi informatici. Ma si tratta di rischi reali o immaginari?
La questione del cloud nelle aziende
Qualsiasi discussione sulla nuvola deve includerne tutte le forme, dal cloud pubblico al cloud privato, ai servizi SaaS (Software-as-a-Service), IaaS (Infrastructure-as-a-Service) e PaaS (Platform-as-a-Service): ciascun tipo di cloud ha una propria economia di scala e presenta rischi specifici.
A dispetto dell’onnipresenza di tali servizi, i timori relativi alla sicurezza dei dati nella nuvolaemergono sempre più insistentemente. Dalla sensazione di perdere il controllo sui dati è scaturita la percezione di un legame tra il cloud e la fragilità dei dati. In primo luogo, si nutrono preoccupazioni sulla riservatezza dei dati archiviati su piattaforme statunitensi a posteriori dell’adozione del Cloud Act da parte degli Stati Uniti nel 2018. In secondo luogo, si teme il rischio di errore umano, poiché una mal configurazione dei parametri di sicurezza può portare ad una massiccia fuga di dati.
La seconda incertezza più diffusa è legata ai costi nascosti della nuvola, spesso presentata come soluzione meno costosa rispetto a infrastrutture IT “on-premise”. I timori riguardano il superamento del budget allocato per costi di archiviazione, operativi o per la cancellazione dei dati superiori alle aspettative, o ancora per oneri di uscita non previsti ecc. Allo stesso tempo, il rincaro dei costi dell’energia ha (ri)aperto gli occhi del pubblico in merito al consumo energetico nei data center.
Infine, l’ultima paura legata all’uso del cloud riguarda la vulnerabilità dei dati lì archiviati, bersaglio primario dei criminali informatici. Per accedere a questi dati, i criminali informatici possono attaccare vari elementi della nuvola, inclusi i servizi IT, i servizi di archiviazione e le applicazioni. Nel 2021, Cognite, Facebook e Kaseya sono stati vittime di attacchi informatici alle banche dati ospitate nel cloud. Già questi pochi esempi (tra una moltitudine di altri casi) contribuiscono al senso di insicurezza che le aziende nutrono nei confronti del cloud. Dopotutto, le stesse soluzioni di sicurezza informatica vengono attaccate sul cloud, basti pensare a quanti articoli sul web riportano il doppio data breach subito da LastPass, che eroga servizi di archiviazione sicura delle password.
La questione del cloud viene sollevata già da diversi anni. Uno studio di 451 Research, pubblicato alla fine del 2022, menziona addirittura che il 54% dei partecipanti aveva già ritirato i propri dati dal cloud pubblico nell’ultimo anno. Tuttavia, separarsi dalla nuvola non è una decisione da prendere alla leggera e richiede a priori un’attenta valutazione dell’impatto di tale operazione (migrazione dell’infrastruttura, migrazione dei dati e degli utenti, adattamento delle regole di sicurezza, gestione dei cambiamenti ecc.).
Quale sicurezza per la nuvola
Esiste, però, anche un altro approccio: combinare cloud e sicurezza informatica. Questo approccio è ancora più rilevante dal momento che la “sicurezza del cloud” in realtà spesso significa “sicurezza dei cloud”. I diversi strumenti di protezione previsti dai singoli market place vanno rinforzati o sostituiti con soluzioni di fornitori specializzati in cybersecurity che offrono funzionalità di segmentazione interna, filtraggio tra risorse diverse, sistemi di rilevazione delle intrusioni, strumenti di gestione delle identità e degli accessi, collegamenti VPN affidabili, ecc. In ottica multi-cloud, scegliere soluzioni di un singolo marchio specializzato in firewalling e implementarle in ogni piattaforma cloud presenta vantaggi in termini di competenze, visibilità dei rischi e gestione, rispetto al dover amministrare le configurazioni più diverse dei firewall nativi di ciascun cloud.
E come scegliere tra le varie piattaforme? In altre parole: come si sceglie una nuvola sicura? Il governo francese prova a rispondere a questa domanda con lo standard SecNumCloud utilizzato per qualificare i fornitori di servizi cloud. Un marchio che conferma la fiducia accordata dal governo francese al provider, in quanto soddisfa i severi requisiti di sicurezza informatica stabiliti dall’ANSSI, tra cui la conformità al più alto livello di sicurezza e protezione dei dati, un contratto di servizio ben preciso e la garanzia di localizzazione dei dati. I cloud qualificati offrono quindi una tutela superiore rispetto alle leggi extraeuropee.
Ma tutto ciò non dovrebbe sminuire l’importanza di garantire scambi sicuri nella nuvola. Ora che gli strumenti di collaborazione nel cloud sono sempre più diffusi nelle organizzazioni, le informazioni sono esposte al rischio di intercettazione, perdita e furto dei dati. La crittografia dei file consente di scambiare dati sensibili in modo sicuro: i dati sensibili vengono automaticamente criptati e decrittografati solo per le persone autorizzate. Ma per essere efficace, la sicurezza dei dati sensibili deve presentare lo stesso livello di intuitività offerto dalle piattaforme cloud. Ma questo è un argomento a sé stante.
I timori sulla fragilità dei dati nella nuvola impongono di porsi le domande giuste su questo ambiente così particolare. Essi evidenziano infatti le vulnerabilità del cloud e le esigenze di sicurezza che ne derivano. La sicurezza nella nuvola non è qualcosa da considerare in modo isolato: le aziende devono anche sensibilizzare i propri dipendenti sulla portata più ampia delle minacce informatiche. Solo in questo modo è possibile aumentare il livello di sicurezza non solo delle risorse cloud, ma anche dell’intero perimetro. Dopo tutto, nella nuvola la sicurezza è un problema che tocca tutti.