La migrazione verso il cloud è uno degli aspetti tecnologici che ha caratterizzato il lockdown e che, secondo gli esperti, costituirà un trend in crescita per il prossimo futuro. La chiusura forzata degli uffici fisici ha fatto comprendere i vantaggi delle risorse in cloud, fra cui la semplicità e la velocità d'accesso alle risorse, ovunque si trovino i dipendenti. La "nuova normalità", con gli uffici operativi sono in minima parte, incentiva l'uso di risorse in cloud per garantire operatività alle aziende.

Il cloud tuttavia non è sicuro per definizione: dev'essere protetto di più e meglio delle risorse on-premises, se si vogliono evitare brutte sorprese. Come noto, basta un errore di configurazione di un server per mettere l'azienda a rischio di attacchi che possono sfociare in gravi danni finanziari e di immagine.

La buona notizia è che è possibile mettere in sicurezza il cloud, o per lo meno ridurre al minimo i rischi. Occorre seguire alcune linee guida di base, affidandosi a esperti che conoscono a fondo insidie e soluzioni.

Migrazione cloud

Prima di tutto cerchiamo di capire la proporzione del fenomeno. I ricercatori di Gartner stimano che il passaggio al cloud computing da qui al 2022 comporterà una spesa di circa 1,3 trilioni di dollari. La prima regola per un passaggio sicuro al cloud è condurre la migrazione per fasi. Si dovrebbe partire dai dati non critici o ridondanti, perché è più facile che gli errori si verifichino nella prima fase del processo. In caso si verifichino problemi, meglio che riguardino dati poco o per niente importanti.   

Ma mano che la migrazione prosegue, è bene verificare continuamente l'operatività e l'integrità dei dati. È un modo per sincerarsi che alla fine della migrazione non si verificheranno interruzioni delle attività aziendali.

L'aspetto più critico della migrazione riguarda la mancanza di visibilità e controllo. Se si verifica, non si è in grado di accertarsi che tutte le risorse siano adeguatamente protette. È per questo motivo che gli esperti di sicurezza caldeggiano l'uso di piattaforme univoche per la cyber security, che permettano il totale controllo di tutti gli asset da un'unica console. L'altro consiglio è di condurre simulazioni di violazioni e attacchi, così da mettere in luce le eventuali vulnerabilità.

La gestione degli accessi

La sicurezza in cloud richiede necessariamente un'attenta pianificazione degli accessi. Dove non sia già stato fatto, è necessario definire ruoli, privilegi e responsabilità di tutti gli utenti e, di conseguenza, autorizzare ciascun utente ad accedere solo alle risorse di cui ha effettivamente bisogno per lavorare.

Non ha senso che un addetto alle risorse umane abbia accesso ai brevetti, o che un impiegato amministrativo acceda alle informazioni sensibili sui dipendenti. Questo lavoro è gravoso non solo la prima volta che viene fatto: i permessi devono essere costantemente aggiornati e rivisti tenendo conto dei cambi di ruolo e dei progetti.

Una gestione attenta delle politiche di accesso permette spesso di ridurre i danni in caso di attacchi che prendono di mira i dipendenti, come per esempio il phishing, l'email impersonation e altri. Proprio queste minacce, basate sul social engineering, si sono dimostrate efficaci nel mettere in ginocchio le tradizionali protezioni antimalware. Quello che è emerso durante il lockdown è che nessun prodotto di governance o di gestione può garantire una protezione al 100%. Gestire gli accessi e i permessi è un aiuto importante non per impedire gli attacchi, ma per limitarne i danni.

La supply chain

Uno dei motivi che spinge la crescita del cloud è la relazione fra aziende e fornitori, che devono necessariamente accedere alle stesse risorse. Se dal punto di vista dell'efficienza e del business questo approccio è vincente, dall'altro espone di più ai rischi. Si verificano sempre più spesso attacchi ai fornitori per colpire le aziende. 

I numeri sono impressionanti: secondo i dati diffusi dal Ponemon Institute, nel 2018 quasi il 60% delle aziende aveva subito una violazione tramite un fornitore. I gruppi APT sfruttano la supply chain perché spesso i fornitori più piccoli dispongono di sistemi di sicurezza meno sofisticati di quelli delle grandi aziende target. In quest'ottica è necessario adottare linee guida comuni e intraprendere valutazioni periodiche della sicurezza dei fornitori.

Le API non sicure

I cyber criminali sono sempre più bravi nello sfruttare nuove opportunità per mettere in pratica i propri propositi. Per aggirare i controlli di sicurezza tradizionali, i cyber criminali hanno iniziato a prendere di mira le API (Application Programming Interface). Secondo Gartner, entro il 2022 le API non sicure saranno il vettore più comunemente usato per indirizzare i dati delle applicazioni aziendali.

Per ridurre al minimo la percentuale di riuscita di questi attacchi, è necessario che gli sviluppatori progettino API corredate da sistemi di autenticazione e controlli di accesso adeguati.

Shadow IT

Lo shadow IT è spesso indicato come uno dei maggiori pericoli per la sicurezza aziendale. Tipicamente la minaccia viene dai dipendenti intraprendenti, che desiderano aggirare i limiti e le complicazioni imposte all'azienda. Oppure che vogliono adottare le più recenti applicazioni cloud per supportare lo smart working. All'atto pratico, usano di propria iniziativa servizi SaaS quali Dropbox, Google Drive e altri per archiviare e gestire i dati aziendali.

Il problema è che l'azienda non ha alcuna visibilità su queste attività, quindi non può proteggere adeguatamente i dati. Le aziende hanno il difficile compito di contrastare lo shadow IT con la formazione. È necessario far comprendere ai dipendenti i rischi che comporta usare risorse non ufficiali, e al contempo fornire loro strumenti efficaci e pratici per lavorare, così che non serva altro.