MILANO– L’ENISA (European Network and Information Security Agent) ha pubblicato una nuova guida con l’obiettivo di migliorare la comprensione del settore pubblico sulla sicurezza dei servizi cloud e di indicare i metodi che si possono usare durante l’erogazione dei servizi.
Marnix Dekker, co-autore della guida, ha spiegato che “le aziende hanno iniziato il passaggio dai sistemi interni per l’outsourcing ai servizi cloud. Per questo le competenze e le priorità del personale IT devono cambiare”.
Una parte integrante di questo lavoro è quello di comprendere al meglio i requisiti di sicurezza rispetto agli attacchi online, ma è ancora più importante essere in grado di monitorare e verificare se i requisiti di sicurezza in questione possono essere rispettati per tutta la durata del contratto.
IL MODUS OPERANDI – Secondo Dekker, infatti, “bisogna essere sicuri che la soluzione implementata sia adatta alle singole esigenze di sicurezza”, al contrario di quanto fatto finora, quando è stata data molta attenzione per garantire che le misure di sicurezza fossero inizialmente corrette, ma non sul modo in cui erano implementate una volta che il servizio cloud era attivo e funzionante.
Insomma, non basta la progettazione, ma serve un lavoro di controllo continuo e costante, che sembra scontato ma, a quanto pare, finora non è stato fatto.
“Un buon esempio è la gestione delle patch. Come cliente chiunque vorrebbe la certezza che le patch siano applicate con frequenza continuativa, ma finora questo passaggio è stato spesso trascurato”.
LE REGOLE – La guida comprende otto diversi parametri che i manager e il personale IT devono seguire con priorità.
Secondo Dekker tra i più importanti ci sono la disponibilità del servizio, la capacità di risposta agli incidenti, la conformità tecnica nella gestione delle vulnerabilità.
Quando si tratta di disponibilità del servizio, in particolare, i responsabili IT continuano ad avere difficoltà a capirne sia la definizione sia il metodo di comunicazione. Il punto è che “spesso si vede una dichiarazione molto generica sul fatto che il servizio dovrebbe essere attivo e funzionante, ma non si pensa a quali funzioni dovrebbero essere attive e funzionanti”.
Per intenderci, se fossero necessari 15 minuti per inviare una e-mail è evidente che qualcosa non va, a prescindere dal fatto che il fornitore del servizio cloud affermi che sia attivo.
Ecco perché è importante andare oltre il fatto che il servizio sia online, e capire come sta funzionando.
GLI INCIDENTI – Altro punto importante è quello dell’Incident Response, direttamente connesso con la disponibilità e la sicurezza.
Dekker spiega che “è difficile scrivere una procedura per la soluzione in tempi rapidi di incidenti di sicurezza, perché possono essere molto complicati da affrontare. Ma per gli utenti è importante sapere quanto tempo dovranno restare senza un servizio”.
Gli autori dell’Enisa mettono quindi l’accento sul fatto che queste esigenze devono trovare una soluzione, e se i costi sono un problema per i gestori possono “assumere esperti e personale formato sulla sicurezza a tempo determinato”, ma non possono far finta di nulla.
di Elena Re Garbagnati (Ict Business)
