Più della metà delle aziende in Germania ora usano capacità di archiviazione, potenza di calcolo o software dal cloud. Le medie imprese in particolare hanno seguito l'esempio. Ciononostante, i problemi di sicurezza rimangono attuali.
Le domande sulla sicurezza sono ancora il più grande ostacolo quando si tratta dell'uso delle tecnologie cloud. Questi sono i risultati del Cloud Monitor 2016, uno studio di Bitkom Research per conto di KPMG.
La sicurezza e la protezione dei dati vanno ben oltre le misure puramente tecniche, come il backup e la garanzia di disponibilità, quando si passa al cloud.
In particolare, una buona pianificazione e un'attenta valutazione dei vari fornitori di servizi in anticipo preparano una buona posizione di partenza per una migrazione sicura al cloud. Florian van Keulen, Principal Consultant Cloud & Security presso il fornitore di servizi IT Trivadis, ha compilato i dieci consigli più importanti per la protezione e la sicurezza dei dati nel cloud:
1. Fare considerazioni preliminari
Ci sono diverse ragioni per passare al cloud. Per poterlo fare in modo sicuro, sono essenziali delle considerazioni preliminari di base. Un'azienda dovrebbe quindi essere chiara in anticipo su ciò che vuole operare nel cloud. Nella maggior parte dei casi, ci sono due possibili scenari, che a loro volta sono seguiti da diverse considerazioni successive. Se si tratta di modernizzare o esternalizzare i sistemi esistenti, bisogna esaminarli attentamente, perché uno spostamento 1:1 dell'IT verso il cloud non è solitamente molto sensato: i sistemi e le applicazioni sono compatibili con il cloud? Ci sono dipendenze da altre applicazioni o sistemi? Quali applicazioni devono essere riqualificate? Nel secondo scenario, un nuovo servizio, processo di business o funzionalità per l'azienda deve essere introdotto nel cloud. Per essere in grado di impostare questo in modo sicuro, è importante conoscere il business case dietro di esso e passare attraverso le questioni di sicurezza di base passo dopo passo.
2. Osservare la conformità e i requisiti legali
Soprattutto quando i sistemi IT sono gestiti nel cloud, è enormemente importante sapere quali linee guida devono essere osservate. La conformità si riferisce all'aderenza ai regolamenti interni dell'azienda, legali e contrattuali, nonché ai requisiti dell'industria e del settore. Le politiche aziendali, per esempio, potrebbero proibire che certi dati siano conservati ed elaborati all'estero. I requisiti legali riguardano principalmente la protezione dei dati. È importante tenere presente che nel 2018 entrerà in vigore un nuovo regolamento generale sulla protezione dei dati dell'UE. Questi regolamenti dovrebbero essere già inclusi nei nuovi progetti. Naturalmente, i contratti esistenti devono essere presi in considerazione. In determinate circostanze, i dati di un cliente non possono lasciare l'azienda o l'UE. Ci sono anche regolamenti di settore, come PCI DSS nel settore finanziario o HIPAA nel settore sanitario.
3. Categorizzare i dati
La categorizzazione dei dati è uno strumento essenziale quando si tratta di protezione e sicurezza dei dati. Per fare questo, è necessario sapere quali dati devono essere trattati nel cloud e se sono soggetti a determinati requisiti di conformità. Per esempio, i dati personali sensibili sono soggetti a severe norme di protezione dei dati e devono essere protetti di conseguenza. Sulla base della categorizzazione coerente, si può poi decidere per ogni tipo di dati se e come devono essere elaborati o protetti nel cloud, e possono essere definite misure di follow-up, come la crittografia dei dati o l'archiviazione locale in sede.
4. Scegli un provider con attenzione
Con il cloud computing, affidi te stesso e i tuoi dati al provider. Quindi, prima che un'azienda decida per un fornitore di cloud e per questo impegno di fiducia, dovrebbe controllare diverse domande e requisiti elementari: il fornitore offre le funzioni necessarie per la sicurezza? Come sono protetti i dati? Quali sono le politiche e i regolamenti che il fornitore si impegna a rispettare? Dove ha i suoi centri dati? Coinvolge subappaltatori o altri fornitori? Quali garanzie, SLA e indennità offre il fornitore? Quanto è forte il fornitore sul mercato? C'è forse il rischio che a un certo punto l'azienda non esista più? I dati e le informazioni possono essere estratti di nuovo in qualsiasi momento e, se necessario, cambiare il fornitore?
5. Controllare le certificazioni e i sigilli di approvazione
Come dice il proverbio, la fiducia è buona, il controllo è meglio. Per convincersi della qualità, della sicurezza e dei processi del fornitore, bisogna consultare le certificazioni e i sigilli di approvazione. Creano trasparenza. Certificazioni importanti in relazione alla sicurezza e alla gestione dei servizi sono, per esempio:
- ISO27001, definisce i requisiti per la fornitura e il funzionamento di un sistema di gestione della sicurezza delle informazioni.
- ISO270018, regola il trattamento dei dati personali nel cloud.
- ISO 20000, metro di valutazione della qualità della gestione dei servizi IT
- SOC 2 Type 2, standard di outsourcing, verifica i criteri di sicurezza, disponibilità, integrità del trattamento, riservatezza e protezione dei dati.
- La certificazione della protezione dei dati, introdotta solo con il regolamento generale sulla protezione dei dati dell'UE.
Tuttavia, si dovrebbe guardare attentamente a quali servizi si riferisce la rispettiva certificazione.
6. Analizzare il contratto
I contratti della maggior parte dei fornitori di cloud sono ormai standardizzati. Più grande è un fornitore, meno opzioni individuali offrono i contratti. Questo rende ancora più importante controllare se i contratti soddisfano i requisiti e le linee guida di conformità dell'azienda. E vale sempre la pena negoziare i punti importanti:
- Deve essere definito chi è il proprietario dei dati. Il diritto ai dati deve rimanere al cliente.
- Idealmente, il luogo di giurisdizione dovrebbe essere nel paese del cliente.
- Deve essere definito dove esattamente i dati sono memorizzati e trattati.
- Se i dati sono trattati negli Stati Uniti, è importante notare che la decisione Safe Harbour non è più valida da ottobre 2015. La regolamentazione della protezione dei dati dovrebbe essere basata sul Privacy Shield o su clausole contrattuali standard. La consulenza legale è consigliabile su queste questioni.
- Le richieste di risarcimento dovrebbero essere definite in modo tale da compensare sufficientemente in caso di danno.
7. riconoscere l'importanza della gestione delle identità e degli accessi (IAM)
Nel cloud, i classici perimetri di sicurezza non sono più del tutto efficaci nel garantire l'accesso ai dati aziendali. Pertanto, è necessario stabilire una gestione dell'identità e dell'accesso (IAM) end-to-end che garantisca riservatezza, integrità dei dati e conformità. Attraverso l'autenticazione, l'identità di un utente proveniente da Internet, sia esso un dipendente, un partner o un cliente, è stabilita al di là di ogni dubbio per poter poi concedere un accesso mirato. Un'autenticazione a 2 fattori è consigliabile, almeno per la gestione del cloud. Per evitare di dover mantenere identità multiple per un dipendente all'interno della rete aziendale e nel cloud, si raccomanda una gestione centralizzata delle identità con servizi di federazione. I protocolli SAML, OAuth, Open ID Connect o le cosiddette autenticazioni basate su rivendicazioni si sono affermati per questo scopo, in cui i ruoli o le autorizzazioni per l'autorizzazione sono inclusi nell'autenticazione. Alcuni fornitori di cloud ora offrono anche Identity as a Service, che rende possibile implementare una moderna gestione delle identità senza dover fornire la propria infrastruttura.
8. Crittografare e anonimizzare sempre, se possibile
Oltre alla gestione delle identità e degli accessi, la crittografia dei dati è probabilmente il meccanismo di sicurezza tecnica più importante. Un fornitore di cloud che non offre la crittografia non dovrebbe ottenere il lavoro. Almeno la crittografia data-at-rest per i dati memorizzati e la crittografia data-in-motion durante il trasferimento dei dati dovrebbero essere standard. Sulla base della precedente considerazione della conformità e della definizione delle categorie di dati, le decisioni sulla crittografia devono essere prese a questo punto. Come e in quale momento deve essere eseguita la crittografia? I singoli oggetti possono essere criptati separatamente? Nel caso di dati particolarmente sensibili o quando i requisiti di conformità non permettono l'elaborazione nel cloud, la crittografia locale, in sede, può fornire un rimedio. Ma: questo si traduce sempre in limitazioni dell'elaborazione basata sul cloud, per esempio nella ricerca. Qui si dovrebbe trovare un buon equilibrio tra funzionalità e protezione. Nell'ambiente della protezione dei dati, l'anonimizzazione può essere un'alternativa migliore in certe circostanze. L'anonimizzazione aiuta a minimizzare la sensibilità dei dati. Questa opzione dovrebbe essere usata ogni volta che è possibile. L'anonimizzazione può ridurre significativamente i requisiti di protezione dei dati e spesso il riferimento a una persona identificabile non è necessario per le valutazioni statistiche.
9. Non trascurare backup, archivi e disponibilità
Una disponibilità del 99,9% del servizio e dei dati non rende superflua una strategia di backup separata. Ancora una volta, è importante definire i propri requisiti con precisione e poi controllare se sono anche implementati dal fornitore di cloud. Questo vale soprattutto per il Recovery Time Objective (RTO) e il Recovery Point Objective (RPO). RTO definisce per quanto tempo un sistema può fallire, e RPO, la quantità massima di dati che può essere persa. È altamente consigliabile non fidarsi ciecamente del fornitore di cloud, soprattutto perché, per esempio, i cambiamenti, le manipolazioni o la cancellazione accidentale dei dati da parte dell'utente non sono responsabilità del fornitore. Questo solleva la questione di avere una propria copia. Questo può anche essere rilevante nel caso di un disastro o se il fornitore fallisce. Ma questo è immediatamente seguito dalle domande su dove sono memorizzati i backup - on-premise o in un altro cloud - e quanto tempo impiega il ripristino di un backup? Si dovrebbe anche pensare all'archiviazione. Qui, l'accesso deve essere regolato o limitato, perché i requisiti di conformità spesso si applicano anche all'archivio.
10. Registrare, monitorare ed essere preparati per gli audit
Assumendo un provider cloud, un'azienda delega la maggior parte dei compiti di registrazione e monitoraggio. Tuttavia, questi dovrebbero a loro volta essere monitorati. Le richieste di risarcimento danni, per esempio, possono essere fatte solo se i fallimenti sono provati. Inoltre, un'azienda dovrebbe sapere quando il suo servizio non è disponibile. Questo richiede un monitoraggio affidabile. Se i sistemi sono monitorati in tempo reale, l'accesso di terzi e i tentativi di autenticazione difettosi possono essere rilevati allo stesso tempo e le contromisure possono essere avviate. Per gli audit che hanno luogo nel corso della certificazione, può essere necessario registrare alcuni fattori, per esempio l'accesso ininterrotto, anche da parte del fornitore. Questi devono essere conosciuti e la registrazione deve essere commissionata al fornitore. Anche l'archiviazione dei log è un aspetto importante, se necessario dovreste anche conservarli localmente.
Conclusione
Una buona pianificazione è metà della battaglia. Attraverso considerazioni preliminari di base, analisi precise dei valori effettivi e di destinazione, nonché l'attingere ai bisogni, le insidie legali possono essere specificamente evitate e il giusto fornitore di servizi può essere selezionato. Insieme alle precauzioni tecniche, un'azienda può iniziare il suo viaggio sicuro nel cloud con tranquillità.
* Florian van Keulen è consulente principale, Business Development & Support, Cloud & Security, Trivadis AG