Cloud: una guida dell’UE per la sicurezza sulla nuvola

0
184

MILANO– L’ENISA (European Network and Information Security Agent) ha pubblicato una nuova guida con l’obiettivo di migliorare la comprensione del settore pubblico sulla sicurezza dei servizi cloud e di indicare i metodi che si possono usare durante l’erogazione dei servizi.

Marnix Dekker, co-autore della guida, ha spiegato che “le aziende hanno iniziato il passaggio dai sistemi interni per l’outsourcing ai servizi cloud. Per questo le competenze e le priorità del personale IT devono cambiare”.

Una parte integrante di questo lavoro è quello di comprendere al meglio i requisiti di sicurezza rispetto agli attacchi online, ma è ancora più importante essere in grado di monitorare e verificare se i requisiti di sicurezza in questione possono essere rispettati per tutta la durata del contratto.

IL MODUS OPERANDI – Secondo Dekker, infatti, “bisogna essere sicuri che la soluzione implementata sia adatta alle singole esigenze di sicurezza”, al contrario di quanto fatto finora, quando è stata data molta attenzione per garantire che le misure di sicurezza fossero inizialmente corrette, ma non sul modo in cui erano implementate una volta che il servizio cloud era attivo e funzionante.

Insomma, non basta la progettazione, ma serve un lavoro di controllo continuo e costante, che sembra scontato ma, a quanto pare, finora non è stato fatto.

“Un buon esempio è la gestione delle patch. Come cliente chiunque vorrebbe la certezza che le patch siano applicate con frequenza continuativa, ma finora questo passaggio è stato spesso trascurato”.

LE REGOLE – La guida comprende otto diversi parametri che i manager e il personale IT devono seguire con priorità.

Secondo Dekker tra i più importanti ci sono la disponibilità del servizio, la capacità di risposta agli incidenti, la conformità tecnica nella gestione delle vulnerabilità.

Quando si tratta di disponibilità del servizio, in particolare, i responsabili IT continuano ad avere difficoltà a capirne sia la definizione sia il metodo di comunicazione. Il punto è che “spesso si vede una dichiarazione molto generica sul fatto che il servizio dovrebbe essere attivo e funzionante, ma non si pensa a quali funzioni dovrebbero essere attive e funzionanti”.

Per intenderci, se fossero necessari 15 minuti per inviare una e-mail è evidente che qualcosa non va, a prescindere dal fatto che il fornitore del servizio cloud affermi che sia attivo.

Ecco perché è importante andare oltre il fatto che il servizio sia online, e capire come sta funzionando.

GLI INCIDENTI – Altro punto importante è quello dell’Incident Response, direttamente connesso con la disponibilità e la sicurezza.

Dekker spiega che “è difficile scrivere una procedura per la soluzione in tempi rapidi di incidenti di sicurezza, perché possono essere molto complicati da affrontare. Ma per gli utenti è importante sapere quanto tempo dovranno restare senza un servizio”.

Gli autori dell’Enisa mettono quindi l’accento sul fatto che queste esigenze devono trovare una soluzione, e se i costi sono un problema per i gestori possono “assumere esperti e personale formato sulla sicurezza a tempo determinato”, ma non possono far finta di nulla.

 

di Elena Re Garbagnati (Ict Business)

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui