vademecum

Proteggere i dati aziendali: guida alla sicurezza nel cloud



Indirizzo copiato

La sicurezza del cloud è una priorità che le organizzazioni di ogni livello devono affrontare, per tutelare i dati e le infrastrutture: ecco i punti principali da considerare

Pubblicato il 17 ott 2024

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA



organizzazione aziendale; sicurezza cloud
sicurezza cloud

La sicurezza del cloud è fondamentale nelle aziende, considerando l’importanza del cloud computing e il crescente numero di organizzazioni che migrano i propri dati. Cruciale dunque la protezione delle informazioni sensibili e l’adozione delle migliori pratiche per la sicurezza e conformità a normative come il Gdpr.

La scelta del cloud provider per la sicurezza dei propri dati e responsabilità dell’organizzazione

Scegliere un provider di servizi cloud affidabile è il primo passo verso la protezione dei dati. Il provider dovrebbe offrire archiviazione dati sicura, crittografia e controlli di accesso. Un passo rilevante per le aziende di ogni livello, non solo le grandi organizzazioni, considerando ad esempio i vantaggi del cloud storage per le PMI. Pertanto, si consiglia di optare per provider conformi agli standard e alle normative di sicurezza pertinenti, quali ISO 27001, HIPAA e PCI DSS.

Inoltre, è quanto mai fondamentale comprendere le proprie responsabilità in materia di sicurezza, dato che, quando spostiamo i nostri dati sui servizi cloud, è importante capire chi è responsabile della loro protezione. Nella maggior parte dei casi, il fornitore cloud è responsabile della protezione dell’infrastruttura, dovendo quindi disporre di adeguate misure di cybersecurity, mentre il cliente è responsabile della protezione dei dati archiviati su tale infrastruttura. Ne consegue che è necessario assicurarsi di conoscere le proprie responsabilità e di adottare le misure necessarie per proteggere i propri dati.

Normalmente, mentre i clienti mantengono la responsabilità end-to-end della manutenzione dell’ambiente in sede, man mano che passano ai servizi cloud, sempre più responsabilità vengono assunte dal fornitore cloud. Tuttavia, la manutenzione e la protezione di dati, dispositivi e identità sono sempre responsabilità del cliente.

Di seguito le principali pratiche di sicurezza cloud che forniscono una solida base per un ambiente cloud sicuro.

Il ruolo critico della sicurezza cloud

Con l’aumento dell’adozione del cloud computing, il ruolo del middleware nell’integrazione dei dati è diventato significativo, dato che, per sua natura, consente lo scambio di grandi volumi di dati tra le applicazioni all’interno dell’ambiente di un provider di servizi cloud. Tuttavia, questa infrastruttura critica di comunicazione può diventare un potenziale bersaglio da parte dei cyber criminali,  se non adeguatamente protetta. Pertanto, concentrarsi sulla sicurezza all’interno del middleware non è solo un’opzione, ma una necessità.

  • Vulnerabilità del middleware – L’interconnessione delle applicazioni all’interno di un ambiente cloud si basa fortemente sul middleware per stabilire uno scambio fluido di dati, conciliando formati e protocolli diversi tra le varie applicazioni. Tuttavia, questa funzione essenziale introduce anche potenziali vulnerabilità di sicurezza dato che, se si verifica un accesso non autorizzato all’interno del middleware, si apre la porta all’intercettazione dei dati sensibili durante il transito. Ne consegue che è quanto mai necessario attuare protocolli robusti di gestione degli accessi e migliorare le misure di sicurezza generali.
  • Impatto delle violazioni di sicurezza cloud – Le violazioni possono portare a significativi problemi di sicurezza. I dati sensibili possono finire nelle mani sbagliate, con gravi conseguenze in termini di perdita di fiducia dei clienti, sanzioni normative e perdite finanziarie dirette. Ad esempio, un provider di servizi cloud che gestisce i dati di pagamento di un’azienda, in caso di violazione del middleware che gestisce questi dati, può esporre informazioni sensibili come i numeri delle carte di credito, causando una significativa perdita di dati e potenziali responsabilità finanziarie.

Allo stesso modo, se il middleware di una compagnia assicurativa viene compromesso, potrebbe portare all’esposizione di dati personali e medici sensibili dei clienti con conseguenti violazioni della privacy dei dati che possono causare gravi danni alla reputazione e multe salate a causa della non conformità a regolamenti come il GDPR o il PCI DSS.  Tale tipologia di incidenti di sicurezza sottolinea l’importanza di misure rigorose di sicurezza cloud di penetration test periodici, oltre che l’adozione di strumenti di sicurezza robusti per la rete cloud.

Migliori pratiche di sicurezza cloud

Operare in un ambiente cloud offre una serie di vantaggi  ma comporta anche una serie di sfide di sicurezza che richiedono l’adozione delle migliori pratiche di sicurezza cloud per garantire la sicurezza dei dati sensibili. Ciò, non solo protegge l’organizzazione dalle violazioni dei dati, ma supporta anche la conformità normativa e contribuisce a costruire  la fiducia con i clienti e con i partner.

  • Crittografia dei dati per una maggiore sicurezza cloud – La crittografia è uno dei pilastri fondamentali della sicurezza dei dati in un ambiente cloud e consiste nel convertire i dati in chiaro in testo cifrato illeggibile, garantendo che, anche se attori malintenzionati intercettano i dati, non possano comprenderli o abusarne. Esistono tre tipi critici di crittografia:
  • Crittografia a riposoSi riferisce alla protezione dei dati quando sono archiviati e può avvenire su macchine fisiche o virtuali, database, backup dell’infrastruttura o altri tipi di archiviazione. Le chiavi di crittografia, che possono convertire il testo cifrato nuovamente in testo in chiaro, sono gestite in modo sicuro e tenute separate dai dati, garantendo che, se un attore malintenzionato ottiene l’accesso non autorizzato all’archiviazione dei dati, i dati sensibili rimangono incomprensibili, mitigando il rischio di violazione.
  • Crittografia in transito – Mentre la crittografia a riposo protegge i dati archiviati, la crittografia in transito protegge i dati quando si spostano tra i sistemi o su una rete. Ciò è particolarmente importante in un ambiente cloud dove i dati spesso fluiscono attraverso varie piattaforme cloud e browser web. Di fatto, i dati vengono crittografati prima di lasciare la loro fonte e rimangono protetti fino a quando non arrivano alla loro destinazione prevista, riducendo il rischio di intercettazione durante il transito.
  • Crittografia end-to-end – La crittografia end-to-end combina i vantaggi sia della crittografia a riposo sia di quella in transito. Ovvero, dal momento in cui i dati vengono creati fino a quando raggiungono la loro destinazione finale, rimangono crittografati, rendendo estremamente difficile per gli utenti non autorizzati accedervi. Tale livello di sicurezza è particolarmente vantaggioso quando si tratta di informazioni altamente sensibili ed è una best practice per qualsiasi organizzazione che desideri garantire la massima sicurezza dei dati nel cloud.
  • Autenticazione forte degli utenti – Un altro aspetto critico della sicurezza cloud è l’implementazione di un’autenticazione utente robusta che contribuisce ad ottenere la conferma dell’identità degli utenti finali che tentano di accedere ai sistemi cloud, prevenendo l’accesso non autorizzato. In particolare, l’autenticazione a più fattori (multi factor authetication – mfa), richiede agli utenti di fornire almeno due forme di credenziali valide ed è un metodo di autenticazione forte ampiamente utilizzato, dato che aggiunge un livello di sicurezza aggiuntivo combinando qualcosa che l’utente conosce (come una password), qualcosa che l’utente ha (come un token hardware o un dispositivo mobile) e qualcosa che l’utente è (come un’impronta digitale).
  • Api Sicure – Le interfacce di programmazione delle applicazioni sicure (application programming interface – api) sono fondamentali per la sicurezza cloud, considerando che esse sono il ponte di comunicazione tra le diverse applicazioni ed i servizi cloud. Pertanto, garantire la loro sicurezza aiuta a proteggersi da minacce, quali le iniezioni di codice o le fughe di dati e misure di sicurezza –  quali token di autenticazione, accesso limitato in base ai ruoli e convalida di tutti i dati di input – possono contribuire a rafforzare le API.
  • Monitoraggio e valutazione periodica delle vulnerabilità – Il monitoraggio continuo dell’ambiente cloud consente di rilevare tempestivamente le vulnerabilità di sicurezza e le attività sospette. Inoltre, implementare sistemi di rilevamento delle intrusioni, condurre regolarmente valutazioni della sicurezza e prevedere audit periodici dei sistemi costituiscono misure fondamentali per mantenere una postura di sicurezza cloud solida, riducendo significativamente l’impatto potenziale di eventuali incidenti di sicurezza.
  • Implementazione di una zero trust architecture (zta) – Si tratta di una strategia di cybersecurity basata sul principio “mai fidarsi, sempre verificare”. Ovvero, la zta – a differenza dei modelli tradizionali che pongono assoluta fiducia all’interno del perimetro della rete – tratta ogni richiesta come una potenziale minaccia, indipendentemente dalla sua origine, riducendo il rischio di minacce interne, oltre a minimizzare i danni causati dalle violazioni del perimetro. Ad esempio, un’azienda potrebbe implementare la micro-segmentazione, isolando i carichi di lavoro l’uno dall’altro. Ne consegue che, se un cybercriminale ottiene l’accesso non autorizzato, il danno potenziale rimane confinato a un piccolo segmento, non all’intera rete. Pertanto, ignorare la zta potrebbe portare a violazioni diffuse a causa dell’accesso incontrollato all’interno della rete.
  • Utilizzo di un cloud access security broker (casb) – Esso funge da guardia di sicurezza cloud tra l’infrastruttura on-premises e l’infrastruttura di un provider di servizi cloud. Ovvero, i casb garantiscono visibilità sull’utilizzo dei servizi cloud, la protezione dei dati e la protezione dalle minacce. Ad esempio, un’azienda potrebbe utilizzare un casb per controllare l’accesso alle risorse cloud, applicare le politiche di sicurezza e rilevare attività sospette in tempo reale. Di fatto, le organizzazioni, senza un casb, rischiano l’accesso non autorizzato, le violazioni della conformità e le potenziali violazioni dei dati nell’ambiente cloud.
  • Penetration test periodici-  Si tratta di un approccio proattivo per scoprire le vulnerabilità nei sistemi cloud, attraverso la simulazione di attacchi informatici per valutare l’efficacia delle misure di sicurezza. Ad esempio, un team IT potrebbe utilizzare un attacco di phishing simulato per verificare quanto facilmente un attaccante potrebbe ottenere l’accesso a dati sensibili. I penetration test periodici, di fatto, aiutano a identificare le debolezze prima che attori malintenzionati le sfruttino, consentendo al team di correggere questi problemi tempestivamente.
  • Programmi di formazione e sensibilizzazione dei dipendenti – L’errore umano rimane una minaccia significativa per la cybersecurity, rendendo fondamentali la formazione e la sensibilizzazione dei dipendenti. I programmi di formazione regolari garantiscono che i membri del team siano aggiornati sulle ultime minacce alla sicurezza, sui comportamenti sicuri online e sulle politiche di sicurezza specifiche dell’azienda. Senza tale formazione, i dipendenti potrebbero involontariamente esporre dati sensibili o fornire punti di accesso per i cybercriminali compromettendo la sicurezza cloud.

Strumenti di data loss prevention (dlp)

Gli strumenti di dlp sono integrati per garantire la sicurezza dei dati e rilevano potenziali tentativi di violazione dei dati, oltre a prevenire l’esposizione non autorizzata dei dati monitorando, rilevando e bloccando i dati sensibili in uso, in movimento e a riposo. Ad esempio, uno strumento dlp potrebbe avvertire se le informazioni della carta di credito vengono inviate al di fuori della rete aziendale, evitando violazioni dei dati e problemi di conformità.

Piano di risposta agli incidenti e di recupero

È quanto mai importante avere un piano di risposta e di recupero efficace agli incidenti. Di fatto, nonostante le migliori misure di sicurezza, le violazioni possono comunque verificarsi. Ne consegue che un piano ben preparato delinea i passi per contenere la violazione, valutare l’impatto, recuperare i dati persi e ripristinare i servizi. Inoltre, la formazione regolare del team e le simulazioni garantiscono che tutti conoscano i propri ruoli e responsabilità in caso di incidente, minimizzando i danni e i tempi di inattività.

Concludendo, nel complesso panorama dei sistemi basati sul cloud, la governance e la sicurezza dei dati sono al centro dell’attenzione, ne consegue che le organizzazioni devono essere consapevoli dell’importanza di mantenere e garantire il più alto livello di sicurezza cloud.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4