Per molte imprese che hanno fatto il grande salto al cloud, la cloud security è solo legata alla tutela dei loro dati quando sono gestiti dai cloud provider che si sono scelti. Il cloud è genericamente inteso come sicuro. D'altronde, si spera che un cloud provider investa in sicurezza ben più di una singola azienda utente. E molti cloud provider sono grandi nomi dell'IT. Ipotizzare la loro affidabilità non è poi così strano.

E in effetti non lo è. Ma la sicurezza in cloud è una questione più complessa di così. In un ambiente multicloud ibrido, sistemi e dati sono distribuiti tra l'on-premise della singola azienda e i data center dei suoi cloud provider. Una IT grandemente distribuita in cui la sicurezza complessiva non è la somma implicita della sicurezza dei vari ambienti coinvolti. Passare in cloud introduce nuovi punti critici e pone in una nuova luce quelli esistenti.

Il primo rischio quindi non è tecnico. È dare la cloud security per scontata, affidandosi al fatto che ciascuno, in fondo, gestisce al meglio casa propria. Il primo passo è verificare proprio questo aspetto, poi però bisogna andare oltre. Il primo passo è cioè eseguire un assessment approfondito delle proprie misure di sicurezza e di quelle - standard e opzionali - del cloud provider. Poi bisogna verificare che tutti i processi di protezione delle informazioni si integrino al meglio. Ed intervenire là dove serve, per garantire che questo accada.


I problemi, infatti, di solito nascono per disallineamenti su alcune misure di cloud security e per incomprensioni su chi (l'utente, il provider, entrambi) abbia la responsabilità di gestirne altre. Serve cioè definire un nuovo modello di sicurezza condivisa tra più parti. E che molte aziende - ma anche provider - non hanno mai considerato prima.

Cloud security: ce n'è un po' per tutti

La sicurezza delle informazioni e delle risorse in cloud è solo in parte delegabile al cloud provider. Questi ha l'obbligo di garantire la sicurezza della propria infrastruttura, quindi è ad esempio responsabile del recupero dei dati in caso di guasto. Ma garantire che i dati siano sempre gestiti al meglio - lato sicurezza - è un compito quantomeno condiviso. E non è raro che ad aprire le falle che mettono in pericolo la cloud security siano proprio le aziende utenti. Ovviamente senza esserne consapevoli, ma questo non cambia la sostanza delle cose.

Una dei punti deboli più frequenti per la cloud security è il controllo inadeguato su chi può accedere ai dati e ai sistemi in cloud, e con quali livelli di privilegio. Per questo le funzioni di identity/access management dell'azienda devono allinearsi con l'ambiente cloud e comprenderlo (o federarsi con esso, con nuove complessità).

E sta all'azienda verificare che non si generino pericolose condizioni errate o indefinite. Come banalmente eliminare un utente on-premise senza che questo "scompaia" anche in cloud. O non applicare il buon vecchio principio dei privilegi minimi. Che in cloud è ancora più importante perché le conseguenze di accessi impropri possono essere anche gravi.

Infine, cloud security per lo staff IT significa anche seguire con precisione il ciclo di vita delle informazioni aziendali. Perché l'IT ne mantiene la responsabilità ma non ne ha più il completo controllo. Visto che parte di tale ciclo di vita non si svolge più "dentro" l'azienda ma fuori, in cloud. A questo servono soluzioni di data discovery e data management che indichino sempre quali dati si posseggono, dove si trovano, quali servizi li gestiscono, e come.