74
office automation
maggio 2012
Come si proteggono i dati tra le nuvole
tività di tutta l’azienda; questo vale sia per l’IT tradi-
zionale quanto per il cloud – afferma Andrea Carmi-
gnani. Innanzitutto è fondamentale capire ‘perché’
l’azienda vuole adottare il cloud e quali applicazioni sa-
ranno oggetto di una migrazione. IBM, con i suoi ser-
vizi di consulenza, aiuta le organizzazioni a compren-
dere, stabilire e delineare i passi per mettere in sicurezza
gli ambienti oggetto di questa migrazione verso il
cloud. Attraverso delle sessioni di lavoro, si defini-
scono quali sono gli obiettivi di sicurezza nel cloud, si
identificano i problemi relativi alla privacy e alla sicu-
rezza e si stabiliscono le strategie di riduzione delle vul-
nerabilità. Si sviluppa quindi una roadmap strategica
di alto livello per la sicurezza. In secondo luogo si ana-
lizza ‘come’ si sta adottando il cloud, ovvero lo stato dei
controlli, dei meccanismi e dell’architettura di sicurezza
dell’ambiente cloud già realizzato o in via di realizza-
zione. Si opera quindi un confronto con le best prac-
tice del settore e quelle di IBM. Tenendo sempre conto
gli obiettivi di sicurezza dell’azienda, vengono identi-
ficati eventuali scoperture e proposti i controlli di si-
curezza più adeguati alla loro risoluzione. Il risultato:
un cliente più conscio di cosa voglia dire proteggere in
modo adeguato un ambiente cloud”.
“Insieme a sei partner italiani della Oracle Commu-
nity for Security, la comunità dei nostri partner fo-
calizzati sui temi legati alla sicurezza, abbiamo re-
centemente reso disponibile lo studio ‘Privacy nel
Cloud’, volto a chiarire come gestire consapevol-
mente il passaggio al cloud computing in ambito
aziendale – racconta Domenico Garbarino. Lo stu-
dio (scaricabile al link
-
bile.clusit.it) analizza gli aspetti di utilizzo del cloud
secondo il punto di vista di un’azienda italiana ti-
tolare del trattamento dei dati e fornisce quindi rac-
comandazioni a tutto campo per guidare le scelte
Di seguito pubblichiamo un estratto del Cloud Computing Re-
port 2011 realizzato dalla società di ricerca Nextvalue, in rela-
zione alle cose che un potenziale cliente di servizi di cloud com-
puting deve verificare con i suoi eventuali fornitori per quanto ri-
guarda il tema della sicurezza.
Le procedure di sicurezza e le regole di compliance adottate
dai provider di servizi di cloud computing non sono altrettanto
promosse e rese pubbliche quanto le informazioni relative alle
prestazioni e alla funzionalità degli stessi.
Questo si verifica anche in relazione alle procedure di configu-
razione, di patching, di auditing e di logging. Spesso i provi-
der, anche negli incontri diretti con i potenziali clienti non metto-
no in evidenza la relazione che avranno i dati aziendali con i
log memorizzati, chi ne ha l’accesso nella loro organizzazione,
quali informazioni il provider è disponibile a condividere in ca-
so di incidente, come viene considerato il profilo di rischio del-
l’azienda cliente e con quale frequenza verrà aggiornato. Ana-
lizzando i pro e i contro di questi aspetti, in generale sono stati
individuati sette possibili aree di rischiosità del cloud computing.
1
L’accesso di utenti privilegiati del provider ai dati dei clien-
ti. I dati sensibili processati al di fuori dei confini dell’orga-
nizzazione comportano un evidente livello di rischio, per-
ché i servizi gestiti oltrepassano i controlli fisici, logici e quelli
normalmente esercitati dal personale all’interno delle infrastruttu-
re tradizionali. Pertanto occorre conoscere preventivamente chi
maneggia i dati aziendali e i provider dovrebbero fornire infor-
mazioni specifiche sul ruolo e sulle modalità di intervento dei lo-
ro amministratori privilegiati.
2
La conformità ai dettami imposti da leggi e regolamen-
tazioni. I clienti stessi sono infatti i responsabili ultimi
della sicurezza e dell’integrità dei loro dati, anche
quando sono conservati presso il provider. Questi ultimi devono
essere disposti a sottoporsi a processi esterni di audit e di certifi-
cazione. La mancanza di queste circostanze dovrebbe far riflet-
tere sulla reale affidabilità del provider.
Le cose da verificare con il fornitore
di cloud computing
