Il punto sulla sicurezza cloud

CloudCloud ManagementFormazioneManagementMarketingServerSicurezzaSistemi OperativiSoluzioni per la sicurezzaWorkspace
Le tendenze digitali secondo Accenture

Il cloud non è meno sicuro dei stemi tradizionali, messi troppo spesso a rischio dai comportamenti inopportuni dei dipendenti. Vediamo perché

Il business scommette sul cloud computing, ma dopo alcuni recenti casi di black-out e data breach gli esperti si domandano quanto sicure siano le nuvole. Per anni il business ha delegato la sicurezza IT agli utenti, chiedendo loro di mantenere aggiornati i sistemi antimalware e firewall, di applicare le patch eccetera. Ora invece c’è la corsa ad acquistare il cloud, definito più sicuro, tanto che Gooogle ha perfino lanciato i laptop cloud con sistema operativo Chrome Os.

Ma i recenti casi di trafugamento dati sul cloud di alcuni colossi IT (il più grosso è stato quello ai danni dei 100 milioni di utenti di Sony, di cui 77 milioni di utenti di PlayStation Network) ipotecano le certezze e fanno tremare i polsi degli esperti di sicurezza. Seguioamo dunque l’originale ragionamento di un esperto come Graham Oakes, per capire quanto sia sicuro il cloud computing. Negli ultimi due mesi gli attacchi contro il FMI, Nasdaq, RSA, Lockheed Martin, Sony Playstation Network, Citigroup, PBS e Nintendo (per non parlare di Sega e Codemasters) hanno popolato gli incubi degli amministratori di sitema, visto che gli attacchi con fughe dati sono avvenuti attraverso una manciata di vulnerabilità.

Ma chiedersi se il cloud computing sia sicuro, è una falsa domanda. Bisogna pensare come un cyber-criminale: è meglio attaccare LockedDown Ltd o FreeFloating Corp? LockedDown Ltd immagazzina tutti i suoi dati in un datacentre privato con firewalls in ogni dove. I databases sono crittografati (con crittografia forte) e se c’è un’intrusione viene rilevata. FreeFloating Corp è invece nel cloud e permette il pubblico accesso solo attraverso il web via poche password. Una volta crackate le password, il gioco è fatto.

Ma se pensate che la scelta dell’attacco cada su quest’ultima organizzazione, forse non conoscete la mentalità del cyber-crime, che prima di decidere, scandaglia le security policy. Per esempio un dipendente, sempre in viaggio, di LockedDown, ha l’abitudine di avere la lista clienti quando è in viaggio di lavoro. Allora la estrae dal database e la salva su un foglio di calcolo, e invia l’allegato via e-mail sul suo account privato di Hotmail, non crittografato.
Invece il dipendente di FreeFloating salva tutto sul cloud e quando viaggia per lavoro accede al cloud computing solo attraverso sistemi sicuri.
Se vi ridomandassi ora chi vi sembra più vulnerabile ai vostri occhi, cambiereste opinione. Il cyber attacco più semplice da compiere è quello che meno ci aspetta. Il cloud computing può essere più sicuro in numerose circostanze. La sicurezza IT non è un fatto legato solo ai sistemi e alle policy, ma soprattutto si associa agli utenti finali ed al loro comportamento. Il social enginnering sfrutta infatti il vero anello debole della sicurezza IT: i comportamenti del dipendente.
Ricapitoliamo: le imprese devono avere master database in un ambiente sicuro; ma è inutile che il database sia sicuro, se i dati possono essere estratti e messi a rischio attraverso comportamenti non opportuni dei dipendenti (dati salvati su Dvd o email e inviati attraverso canali non sicuri); oggi i dipendenti lavorano su iPad, tablet e smartphone, dispositivi che non esistevano quando le policy sicurezza sono state scritte; se vengono bypassate per usare questi device, qualcosa no va; gli esperti di sicurezza IT nelle Pmi sono generalisti (sanno configuare sistemi e fare back-up), ma non hanno il tempo di seguire la lunga lista delle ultime vulnerabilità; basta una sola falla per rendere un sistema insicuro.
Mettendo a confronto tutti questi fattori, diventa chiaro che il cloud computing può essere altrettanto sicuro di un sistema interno. Il cloud permette agli utenti di condividere dati senza bypassare i controlli di sicurezza, come avviene invece con chiavette Usb non a norma. Inoltre I vendor di sistemi cloud hanno il dovere di tenere la sicurezza IT al massimo grado, perché il loro business si basa sull’affidabilità e sulla sicurezza IT.
Insomma, prima di dire che il cloud è meno sicuro, bisogna prendere in esame tutti i parametri e fare un’attenta analisi. Il cloud non è meno sicuro dei stemi tradizionali, messi troppo spesso a rischio dai comportamenti inopportuni dei dipendenti.
[Fonte Graham Oakes di www.grahamoakes.co.uk]

Quanto è sicuro il cloud computing?

Quanto è sicuro il cloud computing?
Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore