Il dilemma del responsabile IT: prima la sicurezza o prima il cloud?

Il dilemma del responsabile IT: prima la sicurezza o prima il cloud?

A cura di Massimo Dino Ceresoli, Head of Innovation and Consulting Southern Europe di Orange Business Services

La centralità del dato vale per tutti e per tutto

Nel loro passaggio al cloud non tutte le aziende considerano ogni aspetto sulle conseguenze che si possono generare in termini di sicurezza. La migrazione dai sistemi legacy al cloud al contrario richiede di riservare alla cybersecurity l’attenzione che merita: l’approccio deve cambiare di pari passo con la trasformazione dell’IT e della strategia complessiva.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Aziende e organizzazioni oggi ospitano enormi quantità di dati, generati dal numero sempre più elevato di dispositivi e sistemi connessi. Una crescita esponenziale che aumenta i rischi di violazione dei dati.

Per mitigare questo pericolo, si sono moltiplicati gli interventi di natura regolamentare – dal Regolamento generale sulla protezione dei dati (GDPR) al progetto Gaia-X – di cui Orange è orgogliosa di essere uno dei fondatori – che mira a costruire un’infrastruttura europea di cloud e di dati per favorire la crescita del mercato digitale UE, allo standard PCI DSS (Payment Card Industry Data Security Standards) di protezione dei dati nei pagamenti digitali. Una cornice legislativa per la quale è necessario rimanere costantemente aggiornati per essere sempre conformi in materia di protezione dei dati.

L’utilizzo della matrice RACI (Responsible, Accountable, Consulted, Informed), uno strumento utile per identificare attività, ruoli e responsabilità all’interno di un progetto, può consentire al fornitore di servizi cloud e al cliente di comprendere le esigenze e le responsabilità reciproche. Nessun fornitore di cloud sarà mai in grado di fornire un servizio totalmente inclusivo senza un dialogo continuo con il cliente. Per questo aziende e organizzazioni clienti devono condividere le loro responsabilità e analizzare con il proprio fornitore di servizi cloud le domande giuste. In particolare per quel che concerne le seguenti aree:

  • Gestione delle identità e degli accessi
  • Backup e ripristino dei dati
  • Gestione delle patch e degli aggiornamenti
  • Monitoraggio dei sistemi
  • Soluzioni SIEM
  • NOC/SOC
  • Conformità alla normativa
  • Fattibilità a lungo termine
  • Localizzazione dei dati
  • Analisi dei servizi e prestazioni
  • Segregazione dei dati
  • Disponibilità e Affidabilità
Leggi anche:  PMI e grandi rischi: proteggere le password è una priorità

Le circostanze determinano l’approccio

Nella situazione pre-COVID, il responsabile IT di un’azienda o di un service provider, aveva ben chiare strategia e roadmap per trasformare l’ambiente IT, definendo tempi e modalità d’intervento. Si potevano trarre indicazioni utili da valutazioni e analisi congiunte per stabilire ad esempio quale velocità adottare per pianificare un cambiamento all’interno della propria organizzazione. Si potevano vedere aziende sviluppare la loro strategia IT in base ai piani di sviluppo del business; contesti in cui anche i budget IT erano stabiliti sulla base delle richieste e della produttività del business. Una fase che potremmo definire di progettazione IT.

L’emergenza COVID ha impresso un’accelerazione alla velocità del cambiamento, soprattutto nella progettazione di servizi IT connessi al lavoro da remoto e alle mutate aspettative dei clienti. A causa dei lockdown e dell’azzeramento degli incontri in presenza, le valutazioni congiunte delle opportunità hanno avuto luogo solo con riunioni virtuali a distanza. Con la rapida trasformazione dell’IT abbiamo assistito a un altro cambio di rotta: oggi non è più il business a guidare l’IT ma è l’IT a rendere possibile il business. I budget assegnati all’IT, in passato allocati ogni cinque anni, oggi vengono decisi su due/tre anni, perché le aziende non sono più in grado di operare con i ritmi, la flessibilità e la velocità di trasformazione del mercato imposti dall’emergenza sanitaria. Una situazione che possiamo definire di trasformazione dettata dal COVID piuttosto che di trasformazione digitale così come la conosciamo. Un periodo durante il quale abbiamo assistito a un’accelerazione nel pensare alla gestione zero-touch trainato dall’automazione spinta, adozione di infrastrutture pronte per il cloud (cloud ready), reti resilienti e sicurezza informatica rafforzata.

Leggi anche:  Social Engineering: ecco la guida Cisco per proteggersi

Letteralmente le aziende non hanno avuto il tempo necessario per valutare in che modo un cambiamento nella progettazione o nella strategia IT si sarebbe collegato ai loro progetti IT, rispetto all’introduzione di risorse SaaS o di migrazione delle infrastrutture dall’on-premise al cloud. Inoltre, le aziende non hanno avuto il tempo di rivedere la posizione complessiva sulla sicurezza. Definiamo questa fase “push-push“, lontana cioè da quella in cui le aziende si trovano quando mettono a terra le loro idee sulla base di un progetto IT e una tabella di marcia definita.

Nel mondo post-COVID, assisteremo a uno spostamento massivo verso un modello ibrido, sia nelle modalità con le quali l’IT detterà la prossima generazione di architetture di sistemi informatici sia nel modo in cui business e IT coesisteranno, dandosi nuovi obiettivi che soddisfino gli obiettivi organizzativi. L’IT dovrà concentrarsi su due fattori importanti: in primo luogo la rapida evoluzione del cloud computing, in termini di flessibilità e affidabilità; secondariamente l’occupazione da parte di migliaia di piccole imprese dello spazio digitale, soggetti in precedenza esclusi dell’equazione che conoscevamo.

(Image source: www.itconductor.com)

Il gran numero di persone che nel post pandemia lavoreranno stabilmente da remoto determinerà una serie di cambiamenti ai servizi in cloud, che dovranno evolvere, diventare più efficienti e soprattutto più sicuri. Ciò richiederà un mix sapiente di SaaS, PaaS, intelligenza artificiale (AI) e machine learning (ML). La sfida principale sarà quella di permettere anche alle aziende più piccole di utilizzare le piattaforme cloud senza sacrificare né qualità né sicurezza.

Per riassumere: la sicurezza prima di tutto, indipendentemente dal cloud

La sicurezza deve integrarsi nel modo di pensare delle aziende fin dalle fasi iniziali di adozione del cloud. Per alcune organizzazioni migrare in cloud funzioni aziendali vitali come l’IT o i sistemi di pagamento può essere una fonte di preoccupazioni per quanto riguarda la sicurezza. Tuttavia, è importante ricordare che la sfida principale non riguarda la sicurezza in cloud.

Leggi anche:  In Europa il settore industriale subisce la maggior parte degli attacchi per mancanza di budget

Nella maggior parte dei casi violazioni e perdita dei dati sono imputabili a errori degli utenti e meno spesso invece al mancato rispetto o errata applicazione di politiche e controlli di sicurezza da parte del cloud provider. L’implementazione di robuste politiche di sicurezza basate sui principi del modello zero trust, e la formazione costante dei propri collaboratori affinché seguano correttamente questi principi, renderanno il percorso di migrazione verso il cloud sicuro e protetto.