L’incremento delle violazioni dei dati, l’inasprimento dei requisiti di sicurezza e delle caratteristiche di “sovranità” in alcuni Stati membri dell’Unione Europea (UE), per quanto riguarda specifiche entità sensibili delle amministrazioni pubbliche, sottolineano la necessità di misure di sicurezza dei dati più rigorose nel cloud.
Regolamenti come il GDPR obbligano le aziende a integrare la protezione dei dati all’interno della loro strategia di migrazione al cloud, già a partire dalla fase di progettazione.
Indice degli argomenti
La strategia dell’UE per la sovranità del cloud
La spinta di alcuni governi dell’UE (in particolare Francia e Germania) verso la “sovranità” del cloud, con l’obiettivo di proteggere i dati dei cittadini e promuovere un’economia digitale europea più solida, ha creato un panorama complesso per le aziende, presentando sia sfide che opportunità per quanto riguarda la sicurezza cloud.
Se da un lato questa spinta mira a promuovere un maggiore controllo sui dati e a migliorare la sicurezza regionale, dall’altro introduce ulteriori complessità per i fornitori di servizi cloud, soprattutto per quelli con sede al di fuori dell’UE, che devono navigare in un ambiente normativo intricato per garantire conformità al GDPR e ad altre leggi locali sulla protezione dei dati.
Le aziende che operano in UE devono valutare attentamente le implicazioni normative delle violazioni dei dati e garantire una conformità costante man mano che i workload critici si spostano nel cloud.
Pensare e progettare la sicurezza in partenza
Quando si tratta di proteggere i workload cloud, gli utenti devono essere consapevoli fin dall’inizio del modello di “responsabilità condivisa”. Questo quadro delinea la divisione delle responsabilità di sicurezza tra un cloud service provider (CSP) e il cliente (cioè l’azienda che utilizza i servizi cloud), garantendo chiarezza sulle rispettive attività di protezione di ogni parte.
Le misure di sicurezza tradizionali sono spesso inadeguate nei complessi ambienti cloud di oggi. Per ridurre efficacemente i rischi e mantenere la conformità, le aziende devono integrare la sicurezza nella fase iniziale di definizione dei progetti cloud, spesso definita “Security by Design”, con un approccio che integra considerazioni sulla sicurezza in ogni fase di sviluppo e implementazione, aiutando a identificare e risolvere tempestivamente le potenziali vulnerabilità.
Con la migrazione di workload sempre più critici verso il cloud, le conseguenze delle violazioni dei dati possono diventare sempre più gravi e le aziende devono quindi dare priorità alla protezione dei dati sensibili adottando controlli di sicurezza più solidi, come crittografia, gestione di identità e accessi (IAM) e implementazione del principio del minimo privilegio.
Strumenti di data security posture management (DSPM) o di attack surface management (ASM) possono aiutare a monitorare e migliorare costantemente la loro postura di sicurezza. Inoltre, l’allineamento tra le pratiche di sicurezza on-premise e cloud è essenziale per creare una strategia di protezione completa e senza soluzione di continuità.
Strategie efficaci di sicurezza cloud
Comprendere la sensibilità dei dati è essenziale per garantire una protezione efficace. L’implementazione di schemi di classificazione dei dati aiuta le aziende ad applicare misure di sicurezza più appropriate in base al loro valore e sensibilità.
L’integrazione della sicurezza nel ciclo di vita dell’implementazione è indispensabile per creare applicazioni cloud protette. Le aziende devono essere certe che la sicurezza non venga trascurata, bensì venga integrata in ogni fase del ciclo di vita dell’applicazione cloud. Inoltre, possono migliorare la loro strategia di sicurezza cloud adottando opzioni avanzate come il BYOK (Bring Your Own Key), che consente di mantenere il controllo sulle proprie chiavi di crittografia, anche quando utilizzano servizi cloud. Questo approccio fornisce un ulteriore livello di sicurezza e garantisce che l’azienda, o il fornitore di cloud, mantenga il controllo finale sull’accesso ai dati.
Le aziende devono monitorare costantemente il proprio ambiente cloud per individuare minacce e vulnerabilità, di conseguenza valutazioni regolari della sicurezza e piani di risposta agli incidenti sono fondamentali per mantenere una solida postura di protezione.
Con un approccio proattivo alla sicurezza e dando priorità alla protezione dei dati da subito, possono ridurre i rischi, rispettare le normative e sfruttare appieno il potenziale del cloud, favorendo innovazione e crescita. Come tutte le strategie di valore, un efficace piano di sicurezza cloud deve essere radicato nelle policy e nella conformità. In questo modo si garantisce che qualsiasi strategia cloud abbia principi di progettazione solidi che si collegano alla governance aziendale.
Senza questo, l’azienda potrebbe aprirsi a vulnerabilità che potrebbero essere facilmente evitate.
L’impatto dell’AI sulla sicurezza cloud
Come è noto, l’AI è uno strumento a disposizione anche dei cyber criminali, che la utilizzano per rafforzare le capacità offensive. L’integrazione di algoritmi di intelligenza artificiale nelle fasi di attacco genera nuove opportunità e aumenta le possibilità di successo. Per questo è fondamentale continuare a incrementare le funzionalità di protezione dei dati, per identificare con maggiore velocità ed efficacia le potenziali aree di vulnerabilità dei sistemi e automatizzare le risposte ai potenziali attacchi rilevati. Ad esempio, il coding assistito da intelligenza artificiale, diventato ormai una pratica comune.
Senza una policy chiara al riguardo, è facile che si verifichi una spirale che porta gli sviluppatori a utilizzare codice assistito da AI pieno di malware. Questo crea un buco nero per il team di cybersecurity, che non solo deve porre rimedio alle minacce esterne, ma affrontare backdoor create inconsapevolmente dal personale. Se l’azienda ha una posizione chiara sull’utilizzo del codice assistito dall’intelligenza artificiale, sul luogo in cui lavorano gli sviluppatori, e occupandosi delle questioni di sicurezza in questa fase, il resto della catena di fornitura sarà molto più protetto by default.
Protezione dei dati sensibili nei settori regolamentati
Questo porta anche a un’ulteriore sfida significativa: mantenere i dati al sicuro. Con la crescita esponenziale dei volumi di informazioni, diventa necessario utilizzare il cloud, cosa che comporta ulteriori considerazioni sulle policy di hosting, gestione, autorizzazione dell’accesso e sul flusso di dati in azienda e nel cloud. I responsabili del cloud development devono costruire la loro strategia di sicurezza dei dati nel cloud tenendo conto di tutte queste policy, per garantire un piano chiaro che copra le implicazioni del workload e dell’applicazione finale e dei dati che saranno collocati all’interno o all’esterno dell’azienda, sia in un cloud privato che ibrido.
Si tratta di un aspetto particolarmente critico per i settori altamente regolamentati come i servizi finanziari, sanità o settore pubblico ed è inoltre fondamentale per tipologie specifiche di dati, come la proprietà intellettuale. Che si tratti di informazioni commerciali, di dati dei pazienti o di un progetto innovativo, l’impatto di una fuga di dati potrebbe essere notevole per l’azienda.
