Cloud security e protezione dei dati: cosa c’è da sapere (e da fare)

Oggi il Cloud è la soluzione ideale per la gestione di dati e applicazioni delle organizzazioni pubbliche e private, in special modo per la flessibilità e il facile utilizzo che li caratterizza, che li rende adattabili a tutte le dimensioni e tipologie aziendali. Migrare la struttura IT tradizionale nel Cloud è ormai scelta obbligata per ottimizzare il business e godere degli indiscutibili vantaggi di un sistema più snello ed efficiente.

Tuttavia, se il cloud computing consente di ridurre i costi anche in modo considerevole, comporta qualche controindicazione: la “nuvola” espone a molteplici minacce che in fase di progettazione devono essere gestite in modo opportuno per un’adeguata protezione di quello che il patrimonio aziendale: il dato.

A quali minacce l’organizzazione si trova potenzialmente esposta?

Le minacce

Innanzitutto i dati aziendali vengono “affidati” a un provider esterno quindi si perde il controllo diretto degli stessi, esponendoli ai pericoli dei livelli di sicurezza altrui e alle zone geografiche in cui vengono gestiti, che non possiedono le stesse regole di protezione. Sistemi di sicurezza non all’avanguardia, non aggiornati, poco controllati da parte del provider costituiscono un altro importante fattore di rischio.

Va da sé, quindi, che la scelta del provider sia il primo passo da effettuare con grande cautela. Quali sono le caratteristiche di un provider affinché possa definirsi affidabile? Almeno tre: un valido sistema di sicurezza, la struttura tecnica, l’esperienza sul campo.

Sul fronte della sicurezza, il fornitore deve garantire l’integrità dei dati, la confidenzialità, l’autenticazione, ossia l’accesso alle risorse scambiate solo a persone autorizzate. Poi la disponibilità, che permette di mantenere il corretto funzionamento del sistema d’informazione. La protezione dei dati comprende anche le procedure di backup e restore, i sistemi di crittografia, il disaster recovery e tante altre procedure che devono essere chiare al cliente. Ma non solo: i dati vanno trattati nel rispetto delle normative della privacy, quindi devono essere dimostrati e documentati i requisiti di conformità al GDPR, nel caso del nostro paese.

Struttura tecnica

A livello di struttura tecnica, un provider dovrebbe disporre oggi di un Security Operation Center as a service per contrastare in tempo reale le potenziali minacce. Il SOC ha come obiettivo l’analisi proattiva dei sistemi e la data breach detection per rispondere tempestivamente agli eventi e alle conseguenze (remediation) che tali incidenti hanno comportato, permettendo al Titolare del Trattamento di comunicare la violazione entro le 72 ore previste dal Regolamento Europeo (GDPR art.33, 679/2016).

Il provider dovrebbe offrire un servizio che combini le funzionalità di un security information management, a quelli di security event management svolgendo un’analisi degli eventi in tempo reale. Ovviamente un sistema adeguato avrà personale tecnico altamente qualificato, pronto a reagire in contrasto e in modalità risolutiva.

L’esperienza sul campo è un fattore collegato ai precedenti, poiché è attraverso i casi reali che si affina la qualità del provider, la sua struttura tecnica e il suo staff. La presenza sul mercato nazionale e internazionale e le referenze sono quindi un altro elemento che aiuta la valutazione.

“Mettere al sicuro informazioni e dati di cittadini e imprese è una condizione necessaria per le aziende pubbliche e private. Solo un alto grado di specializzazione e qualità può rispondere a questo bisogno”; così afferma Francesco Mazzola, CEO di T.net, presente sul mercato da oltre vent’anni, in continua crescita qualitativa comprovata sia dalla propria struttura tecnica sia dalle certificazioni ISO/IEC 27001:2013, 27017:2015 e 27018:2019 che garantiscono il massimo livello di sicurezza nella conservazione e gestione dei dati per imprese e Pubblica Amministrazione.