Controllo dei fornitori del cloud, oggi richiesto anche dalle norme; sicurezza di ambienti ibridi; continuità del business e criticità dei servizi cloud; necessità di prevedere tecnologie specifiche di sicurezza per ambienti nativamente in cloud; formazione del personale ed esternalizzazione di alcuni servizi. Sono questi i temi della cloud security emersi come maggiormente critici nel corso del tavolo di lavoro “Accelerare la transizione sicura al Cloud: Zero trust, Cybersecurity mesh e Security infrastructure management” del CYBERSECURITY SUMMIT 2024 dello scorso 29 febbraio a Milano.
Nel mercato del cloud e della cybersecurity, alcuni numeri sono indicatori delle principali tendenze del momento. “Abbiamo innanzi tutto il progetto del Polo Strategico Nazionale (PSN), avviato un anno fa come parte della strategia Cloud Italia – ha detto Alberto Manfredi, Presidente e Country Leader di Cloud Security Alliance (CSA) Italy, introducendo i lavori della sessione -. Rappresenta il più grande investimento nel mercato cloud italiano, con un budget di 1,9 miliardi di euro, principalmente finanziato dal PNRR”.
Oltre 300 Pubbliche Amministrazioni Centrali e Aziende Sanitarie Locali italiane hanno già aderito al progetto, pianificando la migrazione dei loro dati e servizi verso il PSN. La spesa cyber in Italia nel 2023 ha raggiunto i 2,19 miliardi di euro, registrando una crescita costante. Altri numeri rilevanti riguardano l’agenzia ACN, presente in Italia da agosto 2021, che ha emanato 12 regolamenti riguardanti la cybersecurity, incluso il DPCM e la Strategia di cybersicurezza nazionale 2022-2026. A livello europeo, ci sono sette regolamenti che devono essere adottati in Italia, come il GDPR, la Direttiva NIS2 e il Cybersecurity Act. Ci sono anche cinque norme e standard di riferimento nel mercato cloud, come ISO 27001, ISO 22301, CSA STAR.
“Oggi l’opportunità risiede nell’armonizzare queste iniziative e regolamentazioni – ha detto Alberto Manfredi -. L’incremento della conoscenza attraverso la formazione del personale, con un focus sul ruolo del CISO, può svolgere un ruolo chiave nel soddisfare domanda e offerta. Semplificare e uniformare standard e normative sarà essenziale per governare meglio gli sviluppi del settore, garantendo costi appropriati e una corretta attenzione alla sicurezza”.
La responsabilità dell’azienda nei confronti del cloud provider è richiesta oggi anche dalle norme
Quando si tratta di incidenti cyber, è cruciale avere una chiara suddivisione delle responsabilità tra il cliente e il fornitore di servizi cloud. “Finora, affidarsi solo a questionari e contratti per regolare i rapporti con le terze parti è risultato insufficiente – ha detto Domenico De Angelis, Head of Cybersecurity Group Architecture and Framework, Intesa Sanpaolo -, specialmente in caso di incidenti. Intesa Sanpaolo ha superato questo approccio tradizionale sviluppando vere partnership con fornitori come Google, con cui siamo arrivati alla realizzazione di regioni cloud in Italia. Questo livello di collaborazione permette una sicurezza più completa, che va oltre i semplici accordi contrattuali”.
L’implementazione di normative come DORA ha spinto il mercato verso soluzioni tecnologiche che consentono di valutare in modo più accurato la sicurezza dei fornitori di servizi cloud, riducendo la dipendenza dai questionari. Questo approccio offre una migliore comprensione della sicurezza effettiva del cloud provider, consentendo di stabilire standard di sicurezza più elevati. Tuttavia, ciò potrebbe portare a una selezione naturale dei fornitori, con quelli più robusti e sicuri che sopravvivono e quelli meno capaci che rischiano l’obsolescenza. “Intesa Sanpaolo ha agito in anticipo su questa tendenza – ha detto Domenico De Angelis -, ma si prevede che l’impatto sulle terze parti meno preparate sarà significativo, con molte che potrebbero non riuscire a rispondere ai nuovi requisiti. È importante essere proattivi nell’affrontare questa evoluzione del settore per garantire una maggiore sicurezza e stabilità nel panorama delle terze parti”.
Il punto di vista di una Pubblica Amministrazione sul tema del cloud e della sua sicurezza è cruciale per comprendere questa trasformazione
La Strategia Cloud Italia nella PA è considerata di grande importanza, poiché ha fornito una spinta significativa alla trasformazione digitale, specialmente con il Piano Nazionale di Ripresa e Resilienza (PNRR). “Oggi la certificazione degli applicativi in modalità Software as a Service (SaaS) è diventata un aspetto chiave – ha detto Massimo Poletti, Dirigente Servizio Sistemi Informativi (CIO) e Responsabile per la Transizione al Digitale, Comune di Ferrara -. Questa certificazione offre maggiore sicurezza nel trasferimento del rischio associato alla migrazione verso il cloud. Tuttavia, sorgono delle domande riguardo al controllo sui fornitori certificati dall’Agenzia per l’Italia Digitale (ACN). Il recente caso di un fornitore che ha perso la certificazione ha sollevato preoccupazioni, specialmente considerando che i progetti del PNRR devono essere garantiti per 5 anni. Questa situazione mette in luce la necessità di un’attenta gestione dei fornitori e dei rischi associati”.
La qualificazione dei fornitori produce un registro che diventerà sempre più importante per le PA. Emerge anche una nuova richiesta per le PA di avere un responsabile della sicurezza, ruolo che potrebbe essere esternalizzato, anche se sarebbe meglio mantenerlo all’interno perché richiede una profonda comprensione delle specifiche esigenze di sicurezza dell’ente. Nonostante queste sfide, il percorso verso il cloud nella PA va visto in modo molto positivo. L’esperienza dimostra che la migrazione degli applicativi principali verso il cloud ha consentito una maggiore resilienza e continuità operativa, come dimostrato da un incidente affrontato con successo grazie alla presenza di applicativi in modalità SaaS che hanno garantito la continuità del front office.
Come mettere in sicurezza ambienti ibridi multi-cloud e cloud infrastrutturale?
Secondo Valerio Visconti, Group CISO di Autostrade per l’Italia “Per mettere in sicurezza ambienti ibridi multi-cloud e cloud infrastrutturale, è fondamentale considerare diversi aspetti. Innanzi tutto, la peculiarità delle architetture, ossia, valutare le specifiche delle architetture da proteggere. La transizione per applicativi corporate come ERP o HR può essere rapida e agevole, mentre per infrastrutture come IaaS e PaaS ci sono più sfide da affrontare”.
Poi, la continuità del servizio. Anche se i cloud provider offrono garanzie contrattuali sulla disponibilità del servizio, è essenziale considerare la necessità di una componente on-premises per garantire la continuità del servizio, specialmente per sistemi critici che potrebbero avere impatti sulla sicurezza delle persone.
In tema di approccio tecnologico da seguire, l’utilizzo di tecnologie specifiche per la sicurezza cloud è cruciale, specialmente in ambienti cloud native con l’uso di container e altre tecnologie. “Se su approcci lift & shift si possono utilizzare classiche tecnologie di sicurezza, SIEM, EDR, su approcci cloud native con container e altro, servono tecnologie specifiche e nella pratica qui le cattive configurazioni possono aprire il fianco a moltissimi problemi di sicurezza – ha detto Valerio Visconti –. Serve un approccio sia tecnologico sia architetturale”.
Le cattive configurazioni possono esporre a rischi significativi, quindi è necessario adottare un approccio tecnologico e architetturale mirato. Poi, le competenze delle persone: la trasformazione digitale ha creato una domanda crescente di personale con competenze specializzate. “Spesso abbiamo avuto tecnologie innovative che non avevano system integrator in grado di implementarle – ha detto Valerio Visconti –. Il numero di tool e di tecnologie basiche è cresciuto in modo esponenziale. Bisogna quindi investire sulla formazione e capire che, per alcuni servizi, è necessario esternalizzarli. Tutto no, non sono d’accordo, soprattutto in organizzazioni medio grandi, ma per alcuni non ha senso tenerli in casa”. Investire nella formazione del personale e valutare l’opportunità di esternalizzare alcuni servizi può essere necessario per affrontare la complessità dei nuovi ambienti cloud. In conclusione, la sicurezza degli ambienti cloud ibridi richiede una combinazione di competenze tecnologiche, architetturali e umane per garantire una protezione efficace e una transizione sicura verso il cloud.
Il tema è stato ripreso da Alessandro Renna, Solution Architect Manager EMEA South di SUSE. “Accelerare la transizione sicura al cloud significa per SUSE facilitare e velocizzare il passaggio verso il cloud, mantenendo sempre elevati standard di sicurezza – ha detto Alessandro Renna -. Questo obiettivo è cruciale considerando le stringenti dinamiche del business. SUSE si impegna a seguire le certificazioni necessarie per essere conformi alle norme di mercato, come il CRA e il recepimento della NIS2 entro ottobre 2024”.
Per garantire la sicurezza durante lo sviluppo del software, SUSE ha implementato metodologie certificate in tutte le fasi di sviluppo e rilascio per evitare vulnerabilità. Tuttavia, nel contesto dell’open source, regolamentare l’intera catena di produzione può essere complesso, considerando il contributo di individui esterni al prodotto finale. A livello tecnico, SUSE si concentra sulla certificazione secondo i Common Criteria e collabora con la Linux Foundation per stabilire un quadro normativo preciso. Inoltre, nel passaggio verso un ambiente cloud native con microservizi e container, la società sviluppa soluzioni per controllare la sicurezza in modo nativo, adattandole alle nuove architetture e prerogative del cloud moderno.
Secondo Manfredi Carissimi, Senior Sales Engineer di Rubrik, le aziende oggi devono affrontare la sfida della sicurezza dei dati considerando che gli ambienti sono sempre più ibridi e multi-cloud. “La frammentazione dei dati in questi ambienti aumenta il rischio di attacchi, con molte aziende che confermano di essere sotto attacco e molte altre che hanno subito compromissioni dei dati sensibili – ha detto Manfredi Carissimi -. La sicurezza infrastrutturale tradizionale non è più sufficiente a garantire la protezione dei dati, come dimostrato dagli attacchi ransomware che possono bypassare facilmente le misure di sicurezza. Pertanto, diventa fondamentale implementare soluzioni di backup che siano anche resilienti dal punto di vista cyber, immutabili e in grado di proteggere i dati da attacchi interni ed esterni”.
È importante che le copie di backup siano prive di infezioni da malware per garantire una ripartenza sicura in caso di attacco. Inoltre, è cruciale capire quali oggetti sono stati compromessi e se contengono dati sensibili per valutare eventuali rischi di estorsione dati. “La reputazione dell’azienda e la sua operatività dipendono dalla capacità di proteggere efficacemente i dati – ha aggiunto Manfredi Carissimi -. Soluzioni come quelle offerte da Rubrik possono aiutare le aziende a gestire la ripartenza in caso di attacco e a garantire la sicurezza dei loro dati anche in ambienti ibridi e multi-cloud”.
È ora disponibile la registrazione completa della Roundtable sulla Transizione sicura al cloud:
