Migrare il maggior numero possibile di funzioni aziendali su cloud consente di gestire meglio la cyber security. Inoltre, i servizi cloud, che per natura sono altamente scalabili, consentono di
supportare meglio la crescita delle aziende. È valido per molte realtà produttive, in particolare per il settore dei servizi finanziari, che ha accolto l'opportunità con entusiasmo.
Ai chiari vantaggi, tuttavia, si contrappongono le
cautele per la sicurezza informatica, su cui mette l'accento Check Point Software Technologies elencando alcune aree chiave su cui bisogna tenere alta l'attenzione. La prima è il
multi cloud. L'ovvio presupposto di partenza è che difficilmente si riesce ad affidarsi a un solo fornitore per tutti i servizi di cui si necessita. Quasi tutti si ritrovano a usare
ambienti misti, che erogano i servizi necessari ma rendono difficoltosa la messa in sicurezza tutti gli asset.
SaaS, IaaS e PaaS si uniscono in svariate combinazioni che devono essere gestite sotto l'aspetto
della sicurezza, della conformità e della gestione del rischio. I confini del sistema possono essere difficili da tracciare, rendendo la comprensione del flusso di dati ancora più importante quando si tratta di conformità normativa.
Conformità FinServ
A proposito di
conformità, in ambito finanziario è un aspetto fondamentale, ma non tutti i fornitori cloud sono allineati. Alcuni forniscono dashboard e reportistica per aiutare le organizzazioni ad aderire ai controlli di conformità. La conformità tuttavia non dev'essere data per scontata per via delle posizioni differenti di cliente e fornitore.
Il fornitore del servizio cloud ha interesse a fornire una piattaforma che si adatti alle esigenze di un'ampia clientela. L'azienda cliente cerca di utilizzare il cloud entro i limiti del proprio programma di conformità. Nella scelta del fornitore è quindi imperativo avere la
garanzia che sia l’infrastruttura cloud sia le applicazioni aderiscano alla versione più recente di un requisito di conformità. Meglio ancora se è possibile personalizzare i set di regole e le policy.
L'altro punto critico, che è al centro dell'attenzione dopo i recenti attacchi, è il
DevSecOps, la sicurezza nella produzione e aggiornamento delle applicazioni. Lo sviluppo spesso frenetico e con tempi strettissimi rischia di non tenere conto della sicurezza, creando problemi potenzialmente devastanti.
Da qui l'esigenza di integrare la security nel processo di "pipeline" composto dalla catena costruire/testare/rilasciare/distribuire. Al contrario di quanti molti pensano, un'implementazione di security ben fatta non ostacola velocità ed efficienza della pipeline. Però occorre pianificare e implementare le modifiche che portano a ottenere un risultato sicuro, oltre che veloce. Per esempio,
spostare il controllo della qualità e i test di vulnerabilità all'inizio del ciclo.
Applicazioni web
Un altro problema riguarda l'uso delle applicazioni basate sul web che compilano vari tipi di dati. Non è un segreto che sono un obiettivo primario per i cyber criminali. Inoltre, le applicazioni basate sul web sottintendono l'uso di API.
È necessario adottare un nuovo tipo di sviluppo delle applicazioni che costruisce la
consapevolezza della sicurezza direttamente nelle applicazioni e fornisce un accesso granulare all'applicazione mentre la protegge contestualmente dagli attacchi.
Non ultimo, è da ricordare il ruolo primario che rivestono
controllo e visibilità: l'impatto operativo di strumenti e funzionalità dissimili può rendere la gestione della sicurezza una vera sfida. Occorre una piattaforma unica di controllo e gestione, che si occupi della sicurezza, della conformità e della visibilità, che protegga i carichi di lavoro fra siti differenti e mantenga la stessa postura di sicurezza per l'intera infrastruttura.