I rischi per la sicurezza del cloud rimangono molto legati agli errori umani
Quando parlate di sicurezza del cloud, probabilmente discutete di problemi incentrati sul provider: sicurezza insufficiente, auditing insufficiente, pianificazione insufficiente. Tuttavia, i maggiori rischi per la sicurezza del cloud continuano a essere le persone che incrociate quotidianamente nei corridoi della vostra azienda. Secondo il report Top Threats to Cloud Computing della Cloud Security Alliance sul sito Web HealthITSecurity, i pericoli più grandi provengono infatti dall’interno delle aziende.
Sulla base di un sondaggio condotto su oltre 700 professionisti della sicurezza informatica, la ricerca ha mostrato che le 11 principali minacce alla sicurezza cloud includono interfacce e API non sicure, configurazioni errate, mancanza di un’architettura e di una strategia di sicurezza cloud. Le vere minacce non sono dei cybercriminali incappucciati e seduti in un magazzino abbandonato: sono Maia alla contabilità, Roberto all’inventario IT e Simona alla sicurezza IT.
I ricercatori hanno notato che l’attuale visione della sicurezza del cloud ha spostato la responsabilità dai fornitori agli adopter. Se chiedete ai provider che hanno sempre promosso un modello di “responsabilità condivisa”, hanno sempre richiesto agli adopter di assumersi la responsabilità della sicurezza. Tuttavia, se prendete in considerazione i lavoratori IT e gli utenti ordinari, sono sicuro che questi indicherebbero i provider di servizi cloud come i cardini per una buona sicurezza del cloud.
È anche interessante vedere che le vulnerabilità della tecnologia condivisa, come il denial of service, la perdita di dati dei fornitori di servizi di comunicazione e altri problemi di sicurezza del cloud tradizionale si sono classificati più in basso rispetto ai report precedenti. Certo, rappresentano ancora una minaccia, ma le analisi delle violazioni rivelano che le vulnerabilità della tecnologia condivisa si collocano molto più in basso nella nostra lista di preoccupazioni.
La mancanza di una strategia di sicurezza e di un’architettura di sicurezza ora è in cima alla lista dei principali rischi della sicurezza del cloud. Al secondo posto c’è la mancanza di formazione, processi e controlli per prevenire configurazioni errate, che considero il più delle volte come la causa principale della maggior parte delle violazioni della sicurezza. Naturalmente, questi problemi hanno un collegamento diretto. La mancanza di una pianificazione della sicurezza e di un’architettura di sicurezza sono parte dei motivi per cui si verificano in primo luogo le configurazioni errate.
Al centro della questione c’è la mancanza di risorse. I problemi di sicurezza del cloud sorgono quando le aziende non sono disposte (o in grado) di spendere i soldi necessari per un piano di sicurezza adeguato. Inoltre, aspetto altrettanto importante, le organizzazioni devono istruire continuamente le persone sulle procedure di sicurezza adeguate fino a quando tale consapevolezza non diventi per loro una seconda pelle. Questo approccio deve essere continuo e abbinato a un cambiamento culturale che passi da una mentalità di sicurezza “mostly trust” a una mentalità “zero trust”.
Il personale IT trova ancora in giro negli uffici post-it con scritti sopra ID utente e password e spesso scopre che le risorse cloud vengono sfruttate in modi non autorizzati. Sembra assurdo, ma sono a conoscenza di casi in cui lo storage su cloud pubblico e i sistemi di elaborazione sono stati utilizzati dai figli dei leader IT per completare i compiti a casa: l’ho visto accadere più di una volta e non in una sola azienda… e non sto scherzando.
Fortunatamente, le soluzioni ai problemi di sicurezza del sistema sono facili da definire: più risorse e una maggiore attenzione alla sicurezza del cloud. Detto questo, la correzione a questi problemi richiede un solido piano di sicurezza per decidere cosa fare durante almeno i prossimi cinque anni per proteggere i vostri sistemi.
Spesso è più difficile definire come la cultura deve cambiare e quindi implementare i cambiamenti. Tutta la formazione del mondo non servirà a molto se avete a che fare con una cultura dell’apatia. È sempre bello incolpare gli altri per le carenze del sistema, ma questa volta non è possibile. È ora di iniziare ad affrontare i vostri problemi di sicurezza guardandovi allo specchio.