Migrazione al cloud: quali le priorità della sicurezza

Migrazione al cloud: quali le priorità della sicurezza

Migrazione al cloud: quali le priorità della sicurezza

Nell’intervento di Enrico Maresca, Chief Information Security Officer di Italo – NTV al Cybersecurity Summit di Roma, lo scorso 18 ottobre 2022, intervistato da Loris Frezzato, Channel Area Manager di The Innovation Group, sono stati approfonditi i vantaggi ma anche i problemi (soprattutto dal punto di vista della sicurezza informatica) del passaggio al cloud. Riportiamo i principali consigli alle aziende che emergono dalle sue considerazioni.
Enrico Maresca. È da alcuni anni che abbiamo iniziato a far evolvere la nostra strategia cloud. Ad oggi il cloud può offrire molti vantaggi ma bisogna fare attenzione a non fissare come unico obiettivo la riduzione dei costi in quanto l’utilizzo del cloud non è pensato per questo, anzi, i costi economici potrebbero anche aumentare. Bisogna fare quindi alcune considerazioni in merito a:

#1. Ripensare i Processi. Non bisogna migrare sistemi ed applicativi in maniera indistinta ma prima di tutto analizzare ed ottimizzare i processi in ottica cloud. Questo in quanto, a mio avviso, la tecnologia è soltanto un abilitante dei processi.

#2. Maggior visibilità e controllo. Il cloud consente spesso di centralizzare la gestione dei dati aziendali garantendo una maggiore visibilità e controllo su di essi, a patto che i processi siano correttamente rivisti ed adattati. Un esempio semplice riguarda il blocco delle chiavette USB ed il passaggio a OneDrive. In questo modo siamo riusciti ad ottenere un ambiente più protetto, con una maggiore visibilità e un controllo più puntuale su chi accede a cosa, un aspetto che prima, con l’uso di chiavette USB, non era possibile.

#3. Velocità e scalabilità. Un altro vantaggio relativo all’adozione del cloud è la velocizzazione e scalabilità di alcune attività. Ad esempio, tramite Intune e Windows Autopilot siamo stati in grado di ridurre drasticamente il tempo necessario all’IT per la distribuzione, la gestione e il ritiro dei dispositivi.

#4. Patching. L’adozione di servizi cloud in modalità SaaS ci ha consentito di ridurre notevolmente le attività legate al patching, aumentando anche la sicurezza di questi ambienti. Questo in quanto in questa modalità è il gestore della piattaforma SaaS che garantisce il costante aggiornamento dell’infrastruttura.

#5. Servizi innovativi. Il cloud, inoltre, consente di introdurre facilmente soluzioni innovative anche in ambito cybersecurity (es. approccio passwordless, just-in-time/ just-enough administration, infrastrutture serverless, infrastructure as a code, etc.).

 

Invece, quali sono i problemi da considerare?

#1. Mancanza di competenze specializzate. Ad oggi è difficile individuare, anche presso i fornitori, risorse specializzate quali ad esempio architetti certificati sul cloud. Inoltre, anche il team di cybersecurity è spesso a digiuno di competenze sul cloud. Un consiglio: fate studiare le vostre persone, è importante per padroneggiare il funzionamento del cloud. Inoltre, la formazione delle persone serve a fidelizzare i propri dipendenti.

#2. Autenticazione multifattore (MFA). Va messa ovunque, soprattutto sul cloud, dove se bucano l’utenza giusta, si perde tutto.

#3. Matrice di responsabilità. Modelli ibridi come PaaS e IaaS rendono la comprensione della matrice di responsabilità fondamentale. Risulta fondamentale comprendere quali attività aspettarsi dal gestore del cloud e quali sono in capo all’azienda, in modo da evitare scoperture o aree grigie dove non è chiaro chi e come debba intervenire.

#4. Logging. Bisogna accertarsi di raccogliere tutti i log necessari, anche dalle piattaforme cloud, andando poi a centralizzare, correlare ed integrare la gestione dei log provenienti dal cloud con i log provenienti dalle infrastrutture on-premise.

 

In definitiva, un consiglio per approcciare bene il cloud: Il primo step è sicuramente effettuare un cloud security assessment. Si scopre di tutto, e da qui bisogna derivare policy di cloud security by-default e by-design. In questo modo è possibile dare indicazioni precise sia alle altre funzioni aziendali che ai fornitori, in modo che tutti seguano policy ben definite. Inoltre, un aiuto importante può essere dato dall’utilizzo dalla Cloud Security Matrix di CSA.

Inoltre, un consiglio finale: la sicurezza non deve essere autoreferenziale. Bisogna sempre includere l’utente finale, ad esempio dipendenti e fornitori nei test di sicurezza, assicurandosi che comprendano la centralità e l’importanza del loro ruolo e soprattutto che conoscano le corrette procedure di segnalazione ed escalation in caso di un evento o un incidente di sicurezza.

 

Per rivedere la registrazione completa dell’intervento di Enrico Maresca durante la mattina del Cybersecurity Summit 2022: