Che cos’è il cloud e quanto sono protetti i dati aziendali?
Sentiamo dire spesso che i nostri dati saranno archiviati in modo sicuro nel cloud. Ma cos’è il cloud e quanto sono effettivamente al sicuro i dati che scegliamo di archiviare in questo modo?
Il cloud è semplicemente una rete di server informatici ospitati in un Data Center. Invece di archiviare le informazioni sul vostro computer portatile, o magari su un server nel vostro ufficio, le trasferite ad un Data Center gestito da una terza parte, che le archivierà per voi. I cloud possono essere privati, cioè esclusivamente dedicati a un’azienda, oppure pubblici, condivisi tra più società.
Il modello “Software as a Service” (SaaS) consente a un fornitore di software di sviluppare applicazioni e poi metterle a disposizione dei clienti tramite il cloud. Il cloud computing è l’aspetto fondamentale di molte applicazioni utilizzate dalle aziende, come l’archiviazione di documenti, la gestione della contabilità e delle buste paga, i sistemi di client management e molte altre.
Se si esegue un’adeguata due diligence sul fornitore e si implementano i controlli di sicurezza fondamentali, il cloud offre numerosi vantaggi per le aziende. Si va dai servizi informatici a basso costo, grazie all’economia di scala, ai sistemi di collaborazione a distanza, oltre ad altri numerosi servizi adottabili da aziende di qualsiasi dimensione e settore.
Quanto è sicuro il cloud?
Quando un’azienda valuta se utilizzare dei servizi in cloud solitamente la domanda è “Quanto sono sicuri?”. Beh … dipende.
I fornitori di servizi cloud, come Microsoft, Amazon Web Services (AWS) e molti altri, spendono milioni di euro per garantire che i loro sistemi siano sicuri. Altre società si appoggiano ai Data Center forniti da questi giganti tecnologici. Quando si sceglie un fornitore di servizi in cloud è importante valutare com’è strutturato in termini di sicurezza, ad esempio se ha investito in certificazioni quali ISO 27001, ISO 27017, ISO 27018 o SOC2, che prevedono controlli annuali affinché siano garantiti gli standard.
Tuttavia, per quante misure di sicurezza possano adottare i fornitori di servizi cloud, aziende e utenti finali devono fare la loro parte per garantire che i propri dati rimangano al sicuro.
Per comprendere meglio, usiamo una similitudine. Immaginate che il vostro ufficio o la vostra casa siano l’equivalente di un ambiente cloud. Avete investito in un costoso sistema di allarme, in porte blindate, in videocamere di sorveglianza, ma poi scoprite che qualcuno della vostra famiglia ha messo una chiave sotto lo zerbino all’ingresso, o che la persona che si occupa delle pulizie ha condiviso il codice di ingresso con alcuni colleghi, o che una finestra è stata lasciata aperta, e così via. Nonostante tutti gli investimenti in sicurezza sostenuti, un comportamento individuale li renderà vani.
Come garantire la sicurezza del cloud
Per garantire la sicurezza del cloud l’utente deve adottare alcuni accorgimenti di base, per esempio:
- La password utilizzata per accedere al sistema è sufficientemente complessa?
- È stata attivata un’autenticazione multifattoriale (MFA)? Questo approccio richiede che l’utente debba inserire due “chiavi” per accedere al sistema. In questo modo se una di esse viene compromessa (ad esempio, se la password viene indovinata), per poter effettuare l’accesso è necessario un secondo passaggio (ad esempio, un codice inviato a un telefono cellulare o a un indirizzo e-mail, o il riconoscimento biometrico).
Oltre all’accesso al sistema, occorre considerare le autorizzazioni all’interno del sistema.
- Chi può accedere a cosa? È importante assicurarsi che l’accesso al sistema sia limitato alle persone che effettivamente ne necessitano.
- Verificate regolarmente i livelli di accesso: esiste un processo per amministrare l’accesso, per garantire la rimozione di tutti gli utenti che abbandonano il sistema o per modificare l’accesso in caso di cambiamento di ruolo?
Che stiate valutando un fornitore di servizi cloud o che già ve ne avvaliate, è importante valutare tutti questi aspetti di sicurezza. Come compagnia esperta su queste tematiche, possiamo supportarvi nel capire se il fornitore che avete scelto è realmente affidabile e nel definire con precisione i vostri requisiti. Potete approfondire questo argomento cliccando qui.
Maggiori informazioni
Questa guida è stata realizzata in collaborazione con Risk Evolves.
L’Agenzia per la cybersicurezza nazionale (ACN) fornisce alcune indicazioni utili sull’utilizzo e sulla scelta di fornitori di servizi cloud.
Nel 2022 è stato adottato da diversi Paesi europei il Codice di Condotta CISPE, sui requisiti che devono soddisfare le società che forniscono servizi cloud.
Servizi di gestione del rischio per i clienti QBE
QBE aiuta le aziende a sviluppare la propria resilienza attraverso la gestione del rischio e l’assicurazione.
A seconda delle dimensioni e della complessità dell’azienda, i clienti QBE possono accedere a un’ampia gamma di servizi di gestione del rischio, questionari di autovalutazione e guide informative che aiutano a comprendere le cause principali di sinistro e a strutturare piani che aiutino a ridurre il rischio, proteggere i dipendenti e diminuire le probabilità di sinistro. Per avere maggiori informazioni su come QBE aiuta le aziende a gestire i rischi, cliccate qui. In questa pagina potrete trovare tutte le informazioni sulla nostra offerta cyber.