Quali sono le opportunità ma anche le nuove sfide di sicurezza da considerare nella migrazione al cloud? Ne parliamo in questa intervista con Giampiero Raschetti, Chief Information Security Officer, Banca Popolare di Sondrio.
TIG. Considerando l’attuale evoluzione dei datacenter verso infrastrutture software-defined e convergenti, la virtualizzazione estesa e l’orientamento verso il cloud, quali sono le considerazioni di sicurezza da fare?
Giampiero Raschetti. Ci sono valutazioni molte diverse da fare a seconda delle tipologie di cloud, ad esempio, se parliamo di cloud privato, pubblico o ibrido. Se è vero che per il cloud pubblico possono esserci diverse criticità da valutare, va anche considerato che è complesso oltre che costoso realizzare in casa alcuni servizi che oggi sono disponibili as-a-service dal cloud, e che offrono vantaggi non indifferenti.
Nel settore bancario, per sviluppare servizi nel cloud pubblico, bisogna tenere conto che sono presenti complessità organizzative e diversi vincoli dal punto di vista normativo. I regolamenti da prendere in considerazione sono sempre più complessi, le norme, come ad esempio anche le nuove linee guida in arrivo dall’EBA (presentate in consultazione pubblica lo scorso giugno), pur puntando ad offrire un framework più omogeneo per le esternalizzazioni in generale, richiedono di analizzare con attenzione tutti i rischi correlati e predisporre severe misure di sicurezza organizzative.
TIG. Nello specifico, quali problematiche bisogna considerare nella migrazione al cloud?
Giampiero Raschetti. La sicurezza è solamente una delle tematiche che devono essere considerare nel più ampio contesto della governance dei servizi cloud. La conformità richiesta da EBA e da Bankit impone un’attenta valutazione del rapporto rischio/opportunità per capire se può effettivamente risultare vantaggioso. In funzione della criticità dei singoli processi o infrastrutture utilizzate in cloud, devono poi essere valutati attentamente gli aspetti contrattuali così come eventuali procedure di fallback, di rientro o switch, che devono essere previste nel caso si dovessero presentare problemi di qualunque tipo con il fornitore. Inoltre, per spostare un servizio complesso nel cloud vanno analizzati con attenzione i vincoli funzionali, legati al singolo service provider, tra cui anche inevitabili potenziali aspetti di lock-in che devono essere affrontati. Quindi, non si tratta solo di risolvere i problemi della sicurezza ma più in generale bisogna tener conto di tutti i rischi IT associati oltre all’osservanza di tutta una catena di norme che richiedono di essere rispettate.
TIG. In termini di esposizione al rischio cyber, qual è la vostra percezione per quanto riguarda la sicurezza dei servizi cloud?
Giampiero Raschetti. La nostra esperienza, sui servizi cloud che abbiamo analizzato, è che i principali fornitori di questi servizi, generalmente prevedono garanzie di sicurezza e di servizio estremamente valide e hanno senz’altro ben presente quanto tali garanzie siano rilevanti per competere in questo mercato.
Abbiamo svolto una serie di approfondimenti, e in alcuni casi acquisito servizi as-a-service in modalità black box: abbiamo studiato le infrastrutture cloud su cui sarebbe stato possibile portare parte alcuni servizi (in modalità di cloud ibrido, con componenti sia pubbliche sia private), con vincoli sia sulle tipologie di dati trattati sia su altri aspetti. Alla fine, non siamo riusciti a trovare una soluzione che fosse completamente sostenibile dal punto di vista del totale rispetto delle norme.
I cloud provider offrono oggi infrastrutture con funzionalità di sicurezza molto elevate, per cui alla fine non avremmo dovuto sostenere rischi di sicurezza maggiori rispetto all’in house, ma comunque, dal punto di vista normativo, considerando anche gli aspetti di vigilanza da parte di più istituzioni, abbiamo concluso che sarebbe stato difficile riuscire a giustificare completamente questa scelta.
Detto questo, ritengo che le soluzioni cloud proposte oggi dal mercato siano decisamente molto valide e i servizi offerti molto interessanti; i modelli di suddivisione delle responsabilità sono ben definiti; i player internazionali di primario livello offrono tutta una serie di garanzie sulle proprie piattaforme e sui servizi erogati, specificando i loro ambiti di competenza, le garanzie di continuità del servizio ed i confini oltre i quali sarà poi responsabilità del cliente gestire in proprio i servizi in cloud.
In aggiunta, oggi offrono nuovi servizi di sicurezza ad uso e consumo dei clienti, che permettono di acquisire on demand funzionalità di controllo per tracciare l’utilizzo di informazioni e altre attività utili ai fini della sicurezza e della compliance.
TIG. Quali diventano quindi le nuove sfide di sicurezza nella migrazione al cloud?
Giampiero Raschetti. Innanzi tutto, gli utenti devono prendere coscienza di un nuovo modello di separazioni dei ruoli: il provider offre garanzie per le proprie piattaforme ma per tutto il resto la responsabilità è di chi la sceglie. Poi c’è da osservare che oggi sono necessarie nuove competenze per poter comprendere come sono articolati e innovativi questi servizi. Infine, considerando tutti quelli che sono gli strumenti resi disponibili da questi servizi evoluti, si ritorna ai problemi di governance, per cui è fondamentale ridefinire ed applicare nuovi modelli di governance per rispondere a requisiti interni di sicurezza e di compliance. Particolare attenzione va riposta nei sistemi e nei processi di controllo e monitoraggio degli accessi, nella gestione delle autorizzazioni, nella tracciabilità delle azioni svolte dagli utenti abilitati nelle piattaforme in cloud e nella verifica dei log; tutta una serie di aspetti che non possono essere demandati al provider.
È indispensabile dunque dotarsi di nuove metodologie di governance e criteri di gestione da trasporre al nuovo contesto.
TIG. Bisogna anche considerare quali sono state le scelte infrastrutturali adottate fino a ieri e quindi come farle evolvere verso i nuovi modelli as-a-service …
Giampiero Raschetti. Banca Popolare di Sondrio, come numerosi altri istituti bancari, si avvale di outsourcer che forniscono servizi di housing e hosting, come ad esempio il mainframe e le server farm per il disaster recovery. Con l’outsourcer permangono vincoli di natura contrattuale ben definiti, con garanzie e suddivisione di responsabilità ben precise.
Il rapporto di collaborazione nell’operatività quotidiana è molto più stretto, mentre sul cloud pubblico le attività dei due soggetti sono per loro natura indipendenti ed autonome.
Detto questo, è evidente che il cloud offre oggi un rapporto qualità-prezzo estremamente interessante. Noi, pur interessati ad effettuare delle valutazioni progettuali per portare qualche servizio nel cloud, ci siamo però scontrati con una serie di vincoli normativi difficilmente disinnescabili, vincoli che purtroppo contribuiscono a mantenere molto rigido il settore bancario, impedendo di fatto gli sviluppi più dinamici e flessibili tipici delle soluzioni in cloud, che invece vediamo possono avvantaggiare ad esempio le così dette Fintech, soggette a minori restrizioni in tal senso.
Intervista a:
GIAMPIERO RASCHETTI,
Chief Information Security Officer, Banca Popolare di Sondrio
A cura di:
Elena Vaciago, @evaciago
Il tema di una Trasformazione Digitale sicura sarà al centro dei lavori del TECHNOLOGY INFRASTRUCTURE SUMMIT 2018, “Architetture tecnologiche e Piattaforme per la Trasformazione digitale”, Summit organizzato da The Innovation Group che si terrà a Milano il prossimo 20 settembre.
La Roundtable SECURING INFRASTRUCTURE del pomeriggio sarà infatti dedicata a comprendere come rendere sicure le infrastrutture digitali delle moderne organizzazioni: dal data center agli endpoint, dagli ambienti virtuali alle applicazioni mission critical e al cloud ibrido.
ISCRIVITI AL TECHNOLOGY INFRASTRUCTURE SUMMIT 2018!
(Partecipazione gratuita, soggetta ad approvazione della Segreteria Organizzativa)