Cloud: una guida dell’UE per la sicurezza sulla nuvola

0
748

MILANO– L’ENISA (European Network and Information Security Agent) ha pubblicato una nuova guida con l’obiettivo di migliorare la comprensione del settore pubblico sulla sicurezza dei servizi cloud e di indicare i metodi che si possono usare durante l’erogazione dei servizi.

Marnix Dekker, co-autore della guida, ha spiegato che “le aziende hanno iniziato il passaggio dai sistemi interni per l’outsourcing ai servizi cloud. Per questo le competenze e le priorità del personale IT devono cambiare”.

Una parte integrante di questo lavoro è quello di comprendere al meglio i requisiti di sicurezza rispetto agli attacchi online, ma è ancora più importante essere in grado di monitorare e verificare se i requisiti di sicurezza in questione possono essere rispettati per tutta la durata del contratto.

IL MODUS OPERANDI – Secondo Dekker, infatti, “bisogna essere sicuri che la soluzione implementata sia adatta alle singole esigenze di sicurezza”, al contrario di quanto fatto finora, quando è stata data molta attenzione per garantire che le misure di sicurezza fossero inizialmente corrette, ma non sul modo in cui erano implementate una volta che il servizio cloud era attivo e funzionante.

Insomma, non basta la progettazione, ma serve un lavoro di controllo continuo e costante, che sembra scontato ma, a quanto pare, finora non è stato fatto.

“Un buon esempio è la gestione delle patch. Come cliente chiunque vorrebbe la certezza che le patch siano applicate con frequenza continuativa, ma finora questo passaggio è stato spesso trascurato”.

LE REGOLE – La guida comprende otto diversi parametri che i manager e il personale IT devono seguire con priorità.

Secondo Dekker tra i più importanti ci sono la disponibilità del servizio, la capacità di risposta agli incidenti, la conformità tecnica nella gestione delle vulnerabilità.

Quando si tratta di disponibilità del servizio, in particolare, i responsabili IT continuano ad avere difficoltà a capirne sia la definizione sia il metodo di comunicazione. Il punto è che “spesso si vede una dichiarazione molto generica sul fatto che il servizio dovrebbe essere attivo e funzionante, ma non si pensa a quali funzioni dovrebbero essere attive e funzionanti”.

Per intenderci, se fossero necessari 15 minuti per inviare una e-mail è evidente che qualcosa non va, a prescindere dal fatto che il fornitore del servizio cloud affermi che sia attivo.

Ecco perché è importante andare oltre il fatto che il servizio sia online, e capire come sta funzionando.

GLI INCIDENTI – Altro punto importante è quello dell’Incident Response, direttamente connesso con la disponibilità e la sicurezza.

Dekker spiega che “è difficile scrivere una procedura per la soluzione in tempi rapidi di incidenti di sicurezza, perché possono essere molto complicati da affrontare. Ma per gli utenti è importante sapere quanto tempo dovranno restare senza un servizio”.

Gli autori dell’Enisa mettono quindi l’accento sul fatto che queste esigenze devono trovare una soluzione, e se i costi sono un problema per i gestori possono “assumere esperti e personale formato sulla sicurezza a tempo determinato”, ma non possono far finta di nulla.

 

di Elena Re Garbagnati (Ict Business)