I sistemi IT basati su cloud soddisfano importanti funzioni in quasi tutti i settori moderni. Aziende, organizzazioni non profit, governi e persino istituzioni educative utilizzano il cloud per espandere la portata del mercato, analizzare le prestazioni, gestire le risorse umane e offrire servizi migliori. Naturalmente, un'efficace governance della sicurezza del cloud è essenziale per qualsiasi entità che voglia cogliere i benefici dell'IT distribuito.
Come ogni dominio IT, il cloud computing ha problemi di sicurezza unici. Sebbene l'idea stessa di tenere i dati al sicuro nel cloud sia stata a lungo considerata una contraddizione impossibile, le diffuse pratiche del settore rivelano numerose tecniche che offrono un'efficace sicurezza nel cloud. Come hanno dimostrato i fornitori di cloud commerciali come Amazon AWS mantenendo la conformità FedRAMP, una vera e propria sicurezza nel cloud è sia praticabile che pratica nel mondo reale.
$config[code] not foundCreazione di una tabella di marcia per la sicurezza
Nessun progetto di sicurezza IT può funzionare senza un piano solido. Le pratiche che coinvolgono il cloud devono variare in base ai domini e alle implementazioni che cercano di proteggere.
Ad esempio, supponiamo che un'agenzia del governo locale istituisca un regolamento personale o BYOD. Potrebbe dover attuare diversi controlli di supervisione rispetto a quanto accadrebbe se impedisse semplicemente ai suoi dipendenti di accedere alla rete organizzativa utilizzando i loro smartphone, laptop e tablet personali. Allo stesso modo, un'azienda che vuole rendere i propri dati più accessibili agli utenti autorizzati memorizzandoli nel cloud probabilmente dovrà prendere diverse misure per monitorare l'accesso di quanto farebbe se mantenesse i propri database e server fisici.
Questo non vuol dire, come alcuni hanno suggerito, che mantenere il cloud sicuro sia meno probabile che mantenere la sicurezza su una LAN privata. L'esperienza ha dimostrato che l'efficacia di diverse misure di sicurezza del cloud dipende dal modo in cui aderiscono a determinate metodologie comprovate. Per i prodotti e servizi cloud che utilizzano dati e risorse governative, queste migliori pratiche sono definite come parte del Programma federale di gestione dei rischi e delle autorizzazioni, o FedRAMP.
Qual è il programma federale di gestione dei rischi e delle autorizzazioni?
Il programma federale di gestione dei rischi e delle autorizzazioni è un processo ufficiale che le agenzie federali impiegano per valutare l'efficacia dei servizi e dei prodotti di cloud computing. Nel suo cuore si trovano gli standard definiti dall'Istituto nazionale per gli standard e la tecnologia, o il NIST, in vari documenti di Pubblicazione speciale, o SP e Federal Information Processing Standard o FIPS. Questi standard si concentrano su un'efficace protezione basata su cloud.
Il programma fornisce linee guida per molte attività comuni di sicurezza del cloud. Questi includono la corretta gestione degli incidenti, l'utilizzo di tecniche forensi per indagare sulle violazioni, la pianificazione di contingenze per mantenere la disponibilità delle risorse e la gestione dei rischi. Il programma include anche protocolli di accreditamento per le organizzazioni di accreditamento di terze parti o 3PAO che valutano le implementazioni del cloud caso per caso. Mantenere la conformità con 3PAO è un chiaro segnale che un integratore o fornitore IT è pronto a mantenere le informazioni al sicuro nel cloud.
Efficaci pratiche di sicurezza
Quindi, come fanno le aziende a proteggere i dati con i fornitori di cloud commerciali? Mentre ci sono innumerevoli tecniche importanti, alcune sono degne di menzione qui:
Verifica del fornitore
Forti rapporti di lavoro sono costruiti sulla fiducia, ma quella buona fede deve avere origine da qualche parte. Indipendentemente da quanto sia ben consolidato un fornitore di servizi cloud, è importante che gli utenti autentichino le loro pratiche di conformità e governance.
Gli standard di sicurezza IT governativi incorporano tipicamente strategie di auditing e scoring. Controllare le prestazioni passate del provider cloud è un buon modo per scoprire se sono degni della tua attività futura. Gli individui che posseggono indirizzi email.gov e.mil possono anche accedere ai pacchetti di sicurezza FedRAMP associati a diversi provider per corroborare le loro richieste di conformità.
Assumi un ruolo proattivo
Anche se servizi come Amazon AWS e Microsoft Azure dichiarano di aderire agli standard stabiliti, la sicurezza cloud completa richiede più di una parte. A seconda del pacchetto di servizi cloud acquistato, potrebbe essere necessario indirizzare l'implementazione del provider di alcune funzionalità chiave o consigliare loro di seguire specifiche procedure di sicurezza.
Ad esempio, se sei un produttore di dispositivi medici, leggi come la Portafoglio assicurazione sanitaria e Accountability Act, o HIPAA, possono imporre di adottare ulteriori misure per salvaguardare i dati sulla salute dei consumatori. Questi requisiti spesso esistono indipendentemente da ciò che il tuo fornitore deve fare per mantenere la certificazione del Programma federale di gestione dei rischi e delle autorizzazioni.
Come minimo, sarai il solo responsabile del mantenimento delle pratiche di sicurezza che coprono l'interazione organizzativa con i sistemi cloud. Ad esempio, è necessario istituire politiche di password sicure per il personale e i clienti. Far cadere la palla da una parte all'altra può compromettere anche l'implementazione della sicurezza del cloud più efficace, quindi assumiti la responsabilità ora.
Ciò che si fa con i servizi cloud in definitiva influisce sull'efficacia delle loro funzionalità di sicurezza. I tuoi dipendenti possono impegnarsi in pratiche IT ombreggiate, come la condivisione di documenti tramite Skype o Gmail, per motivi di convenienza, ma questi atti apparentemente innocui potrebbero ostacolare i tuoi piani di protezione del cloud accuratamente predisposti. Oltre a istruire il personale su come utilizzare correttamente i servizi autorizzati, è necessario insegnare loro come evitare le insidie che coinvolgono flussi di dati non ufficiali.
Comprendere le condizioni del servizio cloud per controllare il rischio
Ospitare i tuoi dati sul cloud non ti garantisce necessariamente le stesse indennità che avresti di per sé con l'archiviazione automatica. Alcuni fornitori si riservano il diritto di trascinare i tuoi contenuti in modo che possano pubblicare annunci o analizzare l'utilizzo dei loro prodotti. Altri potrebbero dover accedere alle tue informazioni nel corso del supporto tecnico.
In alcuni casi, l'esposizione dei dati non è un problema enorme. Quando si hanno a che fare con informazioni di identificazione personale o dati di pagamento, tuttavia, è facile vedere come l'accesso di terzi possa causare disastri.
Potrebbe essere impossibile impedire completamente l'accesso a un sistema o database remoto. Tuttavia, collaborando con i fornitori che rilasciano record di controllo e registri di accesso al sistema, si è in grado di sapere se i dati vengono mantenuti in modo sicuro. Tale conoscenza è molto importante per aiutare le entità a mitigare gli impatti negativi di eventuali violazioni che si verificano.
Mai supporre che la sicurezza sia un caso occasionale
Le persone più intelligenti cambiano regolarmente le loro password personali. Non dovresti essere altrettanto diligente sulla sicurezza IT basata su cloud?
Indipendentemente dalla frequenza con cui la strategia di conformità del fornitore impone l'esecuzione dell'auto audit, è necessario definire o adottare il proprio insieme di standard per le valutazioni di routine. Se sei anche vincolato dai requisiti di conformità, è necessario adottare un regime rigoroso che ti consente di soddisfare i tuoi obblighi anche se il tuo provider cloud non riesce a farlo in modo coerente.
Creazione di implementazioni di sicurezza cloud che funzionano
Una sicurezza cloud efficace non è una città mistica che si estende per sempre oltre l'orizzonte. Essendo un processo consolidato, è alla portata della maggior parte degli utenti e dei fornitori di servizi IT, indipendentemente dagli standard a cui si conformano.
Adattando le pratiche descritte in questo articolo ai tuoi scopi, è possibile raggiungere e mantenere standard di sicurezza che mantengono i tuoi dati al sicuro senza aumentare drasticamente i costi operativi.
Immagine: SpinSys
1 commento ▼