Cloud, un trend in crescita: lo scenario 2021 tra opportunità e rischi - Agenda Digitale

L'analisi

Cloud, un trend in crescita: lo scenario 2021 tra opportunità e rischi

La pandemia ha accelerato la crescita preesistente del cloud, per la flessibilità che li caratterizza: questa tecnologia si presenta come un’importante leva di innovazione per cui è utile approfondire lo stato dell’arte di tali servizi in Italia

18 Mag 2021
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant

La crescita degli ultimi anni dei servizi cloud sembra non arrestarsi, soprattutto ora: le organizzazioni si trovano a gestire una forza lavoro che opera in gran parte in modalità remota a causa del Covid-19 e, pertanto, hanno accelerato il processo di digitalizzazione. Ne consegue che, a fronte dell’evoluzione di un ambiente cloud pubblico sempre più complesso, sarà sempre più necessario avvalersi di strumenti di sicurezza.

Alla fine di marzo 2021 la Cloud Security Alliance (CSA), organizzazione dedicata alla definizione e alla sensibilizzazione delle best practice per contribuire a garantire un ambiente di cloud computing sicuro – e AlgoSec – fornitoredi rete e cloud orientati al business soluzioni di gestione della sicurezza – hanno pubblicato uno studio dal titolo “State of Cloud Security Concerns, Challenges, and Incidents”. Lo studio si basa sul circa 1.900 interviste a professionisti IT e della sicurezza IT (appartenenti ad organizzazioni di diverse dimensioni) ed offre una visione approfondita del complesso ambiente cloud che è diventato ancora più articolato dall’inizio della pandemia.

Cosa dice lo studio di CSA

Lo studio rileva che il 58% degli intervistati è preoccupato per la sicurezza nel cloud; inoltre, le configurazioni errate risultano essere una delle cause principali di violazioni e interruzioni, a fronte di un’adozione del cloud pubblico quasi raddoppiata negli ultimi due anni. Il 63% degli intervistati prevede, nel 2021, di continuare ad eseguire il 41% o più dei workload in cloud pubblico, un trend che è destinato a prevalere in futuro; mentre il 62% conferma di utilizzare più di un provider cloud e ritiene che aumenterà anche la diversità dei workload di produzione (ad es. container platforms, virtual machines).

digital event, 20 ottobre
Think Digital Summit: strategie, tecnologie, trend e innovazione per competere sul mercato
Big Data
Intelligenza Artificiale

Di seguito una descrizione delle principali problematiche/rischi che preoccupano le organizzazioni nell’adozione del cloud e, precisamente:

  • Sicurezza – è la principale preoccupazione che affligge gli intervistati in quando si tratta di progetti cloud, in termini di:
    • sicurezza della rete (58%),
    • mancanza di esperienza nel cloud (47%),
    • migrazione dei workload nel cloud (44%)
    • personale insufficiente per gestire gli ambienti cloud (32%).

Il 79% degli intervistati ha segnalato, inoltre, un aumento dei rischi legati al personale a conferma di come, in questo particolare momento, le organizzazioni abbiano difficoltà a gestire sia le implementazioni cloud sia una forza lavoro che in gran parte lavora da remoto.

  • Problemi e configurazioni errate del cloud tra le principali cause di violazioni e interruzioni- l’11% degli intervistati ha segnalato di aver subito, nell’ultimo anno, almeno un incidente di sicurezza dovuto ad una dalle seguenti tre cause più comuni:
    • problemi causati dal provider di cloud (26%)
    • configurazioni errate della sicurezza (22%)
    • attacchi hacker di tipo DDoS (20%).

Inoltre, per quanto riguarda gli impatti più dirompenti subiti ai danni del cloud, il 24% dei professionisti ha affermato di aver impiegato fino a 3 ore per le operazioni di ripristino, mentre per un 26% è stata necessaria più di mezza giornata di lavoro.

  • Le organizzazioni cercano strumenti di supporto per il personale addetto alla sicurezza IT –Un ambiente complesso, personale di sicurezza insufficiente e mancanza di conoscenze cloud, sono tra le cause principali che hanno spinto le organizzazioni ad adottare strumenti di tutela che supportino il personale della sicurezza IT in termini di rilevamento proattivo ed automatizzato dei rischi in modo tale da sopperire alla mancanza di esperienza del personale e, al contempo, migliorare la visibilità delle operazioni mentre si migra verso un ambiente cloud in continua evoluzione.
  • Problemi durante l’esecuzione di applicazioni nel cloud pubblico – La preoccupazione maggiore in termini di esecuzione delle applicazioni nel cloud pubblico riguarda la perdita di dati sensibili, seguita da interruzioni dei servizi, impostazioni di configurazione e sicurezza, accesso interno non autorizzato, conformità alla normativa vigente e ransomware.
  • I controlli “nativi” di sicurezza dei Cloud Provider risultano insufficienti per molte organizzazioni – L’utilizzo dei controlli di sicurezza aggiuntivi, forniti dai cloud provider, è passato dal 58% del 2019 al 71% dell’inizio 2021. Inoltre, risulta che circa il 50% delle organizzazioni si è rivolta a provider di terze parti per quanto riguarda versioni virtuali di firewall per i controlli di sicurezza della rete a conferma del fatto che molte organizzazioni si stanno spostando verso il cloud pubblico, mentre altre utilizzano ancora ambienti legacy e ibridi e necessitano di un controllo uniforme in molti ambienti diversi. Inoltre, con l’attuale crisi sanitaria e il massiccio aumento del remote working, molte organizzazioni non sono più in grado di proteggere la propria rete, come hanno fatto in precedenza, e devono rivolgersi a controlli di sicurezza aggiuntivi e alternativi.
  • Mancata chiarezza su chi è responsabile della sicurezza del cloud – Il 35% degli intervistati ha affermato che l’Operation Security Team è responsabile della sicurezza del cloud, seguito dal Cloud Team (18% degli intervistati) e dal IT Operation Team (16% degli intervistati) oltre altri team, i.e. Network Operation, DevOps e Owner Application (10% degli intervistati), ovvero, ad oggi, non è ancora chiaro quale sia la funzione/team preposto alla sicurezza del cloud pubblico.

Le organizzazioni – per sopperire agli empasse sopra descritti- devono necessariamente utilizzare “tool” di sicurezza automatizzati in grado di rilevare proattivamente i rischi e gestire adeguatamente le sfide che, di volta in volta, si presentano. Inoltre, sarà sempre più necessario migliorare la visibilità in un ambiente così eterogeneo e garantire alle organizzazioni lo stesso livello di conoscenza su tutta la linea, in varie istanze e piattaforme, senza lacune, in modo da rilevare proattivamente sia i rischi di rete sia le configurazioni errate.

A fronte di reti sempre più dinamiche e complesse, con terze parti che ottengono l’accesso per scopi di manutenzione e la catena di fornitura, urge sapere dove vengono distribuite le risorse e su quale versione del software sono in esecuzione, in modo tale da evitare di avere dispositivi privi di patch o versioni obsolete del software in esecuzione. A tal proposito molti provider cloud hanno introdotto dashboard come Security Center (Azure) e Cloud Security Command Center (GCP), che forniscono una visibilità completa su tutti gli aspetti dell’ambiente.

La business continuity nel cloud

Il cloud si rivela essere una leva strategica per la garanzia della Business Continuity ed ha reso più facile, veloce ed economico il raggiungimento della resilienza operativa. Ovvero, si può assicurare la business continuity e un alto livello di disponibilità anche per le applicazioni business critical – grazie a infrastrutture certificate e servizi di back-up e recovery – garantendo, così, un livello di disponibilità difficilmente conseguibile mediante un’infrastruttura interna.

Tuttavia, non bisogna dimenticare che la protezione dell’infrastruttura cloud richiede un approccio fondamentalmente nuovo, in grado di integrare la sicurezza sia dalle prime fasi del ciclo di vita dello sviluppo dell’ambiente cloud sia nel tempo. Ovvero, l’infrastruttura cloud deve essere continuamente monitorata in runtime per quanto riguarda le modifiche di configurazione e di valutazione del rischio dato che, quando una modifica della configurazione introduce un rischio, l’infrastruttura cloud deve essere “ridistribuita” in base ad una linea di base sicura al fine di garantire che eventuali modifiche rischiose – apportate accidentalmente o intenzionalmente – vengano automaticamente sovrascritte. Inoltre, con l’emergere di nuove tipologie di attacchi – che possono compromettere pesantemente le organizzazioni – la resilienza informatica del cloud è, ora, più importante che mai e il mantenimento di una corretta configurazione diventa, pertanto, un requisito fondamentale.

Ogni organizzazione, prima di portare la propria attività sul cloud, deve scegliere con attenzione il cloud provider e privilegiare quelle piattaforme che garantiscono la sicurezza e la conformità dei propri dati, sicché consentono di cogliere le opportunità a disposizione. È doveroso ricordare che uno dei rischi principali per la continuità aziendale nell’ambiente di cloud computing è la perdita di connettività Internet, quindi, il fornitore di servizi cloud deve dimostrare quali misure di controllo ha implementato per garantire la connettività; in caso di dimostrata vulnerabilità, potrebbe essere necessario interrompere tutti gli accessi al provider fino a quando tale problematica non venga risolta.

Inoltre, il fornitore del servizio cloud dovrebbe essere in grado di: gestire prontamente i potenziali attacchi informatici; avere un adeguato livello di cyber resilience; ovvero, saper resistere ad un attacco adattandosi all’evento in maniera dinamica, garantendo autenticità, riservatezza, integrità e disponibilità dei dati. Solo in questo modo sarà possibile aumentare la capacità di resilienza del cliente fruitore dei servizi cloud e contribuire alla valorizzazione complessiva della criticità degli asset di una organizzazione tenendo conto, altresì, che la decisione di migrare i propri dati in ambiente cloud amplia il perimetro aziendale tradizionale e, di conseguenza, gli asset, le minacce e le vulnerabilità.

Cloud risk management

Il Cloud risk management diventa strategico e fondamentale soprattutto ora che la maggior parte delle organizzazioni sta adottando il cloud nelle varie declinazioni. I rischi relativi alla sicurezza e alla privacy dei dati rimangono prioritari. Ad essi si aggiunge il rischio elevato di violazione dei dati derivante dalla errata configurazione dei server cloud.

Urge prendere atto che i rischi del cloud possono essere generati dal fornitore o da terze parti. Secondo un rapporto del 2019 di IAPP e EY, meno del 50% delle organizzazioni aveva implementato un processo di audit standard o formale in termini di privacy dei dati; non aveva in essere alcun processo di garanzia di sicurezza in conformità alla ISO 27001 o al ISMS (Information Security Management System o sistema di gestione della sicurezza delle informazioni), né utilizzava audit esterni per gestire i rischi in termini di privacy. La maggior parte delle organizzazioni, ancora oggi, risulta limitarsi a svolgere qualche tipo di sommaria autovalutazione o ad utilizzare la funzione legale per gestire i rischi relativi alla privacy.

Tuttavia, l’ampia adozione del cloud e delle nuove normative quali GDPR, implica una gestione della sicurezza dei dati e dei rischi per la privacy. L’adattamento di un framework di Risk Management e di un approccio basato sul ciclo di vita del sistema stesso sta acquisendo ancora più importanza insieme a concetti di sicurezza di base come Security by Design e Privacy by Design.

È doveroso evidenziare che, purtroppo, le piccole e medie organizzazioni non hanno ancora inglobato la cultura del rischio, né tantomeno il concetto di Risk Life Cycle Management, né dispongono di una risorsa dedicata. Inoltre, nella maggior parte dei casi non è presente un monitoraggio efficace dei rischi per la sicurezza del cloud, la sicurezza dei dati e la privacy. Ne consegue che, in futuro, diventerà sempre più importante e strategico disporre di un ciclo di vita di Risk Management efficace ed in grado di misurare e monitorare i rischi critici in tempo reale, oltre a definire la risk tolerance ed il risk appetite per l’organizzazione e, conseguentemente, identificare ed implementare le necessarie misure di trattamento e mitigazione dei rischi cloud.

Gare Consip Cloud: stato dell’arte

Nel nostro Paese l’adozione del paradigma cloud rappresenta la chiave della trasformazione digitale consentendo una vera e propria rivoluzione del modo di pensare i processi di erogazione dei servizi della PA verso i cittadini. Di fatto, a giugno 2020 Consip – in un’ottica di cloud first atta a facilitare la migrazione dei servizi delle PA verso tale modello – ha indetto due gare e, precisamente

  • Gara a procedura aperta per l’affidamento di un accordo quadro per la fornitura di servizi cloud IaaS e PaaS in un modello di erogazione pubblico nonché per la prestazione di servizi connessi, servizi professionali di supporto all’adozione del cloud, servizi professionali tecnici per le Pubbliche Amministrazioni. Tale gara non risulta ancora assegnata. Essa è da considerarsi in coerenza con il principio cloud first e propedeutica a completare il quadro mediante ulteriori iniziative relative a Servizi SaaS Public Cloud, nonché garantirà la continuità dei servizi Sistema Pubblico di Connettività (SPC) in attesa della disponibilità dei nuovi strumenti.
  • Gara a procedura aperta per la conclusione di un accordo quadro ai sensi del D.Lgs. n. 50/2016 avente ad oggetto l’affidamento di servizi applicativi in ottica cloud e l’affidamento di servizi di PMO per le pubbliche amministrazioni – ID 2212; lo scorso marzo 2021 sono stati assegnati aggiudicati in via definitiva non efficace i lotti 1 e 2.

Inoltre, il 23 marzo è stata indetta un’altra gara dal Ministero dell’economia e delle finanze (Mef) per l’affidamento di servizi Cloud IaaS e PaaS per il Dipartimento dell’Amministrazione Generale (Dag) nell’ambito del sistema dinamico di acquisizione della pubblica amministrazione per la fornitura di prodotti e servizi per l’informativa e le telecomunicazioni.

La realizzazione di tale strategia consentirà il conseguimento di importanti benefici in termini di flessibilità e risparmio per le PA, oltre ad un significativo incremento di qualità, sicurezza e affidabilità dei servizi per gli utenti dei servizi offerti dalle PA (cittadini ed imprese).

Lo scenario futuro

Il cloud si avvia a raggiungere il suo pieno potenziale per gestire enormi quantità di dati di valore. Le prossime tendenze in termini di cloud alle quali assisteremo nel corso del 2021 e del 2022 saranno quelle relative alla conformità ed alla sicurezza, grazie all’utilizzo di soluzioni esterne intelligenti e innovative. Le organizzazioni stanno considerando sempre più offerte multi-cloud o cloud-ibrido in modo tale da ottenere il meglio da ogni soluzione e, secondo quanto si evince nell’ultimo rapporto pubblicato lo scorso dicembre da IDC (società leader mondiale nel settore ricerche di mercato), entro il 2022 oltre il 90% delle aziende farà affidamento a un modello di soluzioni di cloud ibrido che include cloud privati dedicati, oltre a cloud pubblici e piattaforme legacy.

Si ritiene che, entro la fine del 2021 – sulla base delle lezioni apprese durante la pandemia – la maggior parte delle organizzazioni metterà in atto un meccanismo per accelerare il passaggio a servizi applicativi e a infrastrutture digitali incentrati sul cloud; inoltre, gli investimenti in componenti hardware e software (alla base dei servizi cloud) e in servizi professionali sono destinati a superare i mille miliardi di dollari nel 2024.

In effetti, man mano che le organizzazioni cambiano il loro modello di business a lungo termine (forza lavoro remota, dipendenti distribuiti, uffici virtuali, ecc …), l’adozione del cloud sarà ancor più diffusa. Il divario tra l’adozione del cloud e le risorse IT per proteggere il cloud o ambiente ibrido, spingerà le organizzazioni ad adottare una nuova classe di soluzioni di sicurezza basate sul cloud in quanto risulteranno strategiche per: accelerare il business; fornire esperienze utente migliori; creare nuovi processi di sicurezza per mantenere le moderne attività di sviluppo delle applicazioni.

Inoltre, l’ecosistema di aziende tecnologiche che aiutano i clienti a migrare verso ambienti cloud, a creare nuove innovazioni nel cloud e a gestire i loro ambienti cloud in espansione, consentirà alle organizzazioni di soddisfare i loro passaggio accelerato al cloud.

I punti critici

Detto questo, va anche sottolineato che l’adozione della tecnologia cloud, pur essendo un punto di svolta per le organizzazioni, non è priva di ombre: infatti, se da un lato ha fornito alle organizzazioni la scalabilità e la flessibilità tanto necessarie per rimanere competitive e innovative in un ambiente aziendale in continua evoluzione, dall’altro lato ha comportato una serie completamente nuova di rischi per la sicurezza per il cloud e ha reso i dati aziendali vulnerabili a fughe di notizie e perdite dovute a una varietà di fattori.

Pertanto, risulta quanto mai evidente che il modo migliore per proteggere l’organizzazione consiste nel seguire gli standard di sicurezza del cloud, implementare i principi di Risk Management e Business Continuity, oltre a incorporare le raccomandazioni e adottare le check list rese disponibili da organismi internazionali come la Cloud Security Alliance (CSA) in grado di chiarire le migliori pratiche e fornire linee guida su come gestire il cloud e i rischi che esso comporta.

INFOGRAFICA
La scuola è cambiata: come si passa all’apprendimento digitale ibrido
Cloud
Marketing
@RIPRODUZIONE RISERVATA

Articolo 1 di 3