Nel passaggio al cloud, le aziende di solito non sono particolarmente preoccupate della sicurezza della "nuvola". La sensazione generale è che la cloud security sia nel complesso di alto livello. D'altronde - pensano le imprese - i cloud provider sono grandi nomi dell'IT che investono nella sicurezza delle loro infrastrutture IT molto più di quanto fa mediamente una singola azienda per la sua. Questo dettaglio è certamente vero, ma la questione è più articolata di così. La cloud security di un sistema fatto da un'azienda e dal suo (o dai suoi) cloud provider non è solo la somma della sicurezza dell'una e dell'altro (o degli altri), per cui se ognuno svolge bene i suoi compiti il problema è risolto. L'insieme, come si usa dire, è maggiore della somma delle parti.

Ci sono certo questioni tecniche di cui tenere conto, ma prima ancora ci sono questioni di metodo e di approccio che le aziende non devono sottovalutare. Vediamo le principali.

Non c'è solo il cloud

Praticamente nessuna impresa, forse nemmeno una startup, può passare istantaneamente al cloud senza mantenere nulla on-premise: avrà, quantomeno per un po', un ambiente misto da proteggere. Questo è vero sempre: anche se si decide semplicemente di usare un particolare servizio in SaaS, magari limitatamente a una singola divisione aziendale, comunque in quel momento l'IT aziendale si "sdoppia" e comincia a comprendere parti che operano e sono gestite in modo differente.
Anche se lo staff IT può avere presenti queste complessità della cloud security, raramente l'utente finale se ne rende conto e si aspetta una sostanziale trasparenza tra i servizi interni e quelli invece di cui si usufruisce in cloud. Inoltre, è probabile che investimenti e attenzione siano in questa fase dedicati al nuovo (il cloud) e non al vecchio, il che complica ulteriormente la vita a chi deve fare in modo che il secondo conviva in maniera sicura col primo.

Serve un controllo della cloud security

Il cloud promette semplicità anche lato sicurezza, ma per un'impresa è fondamentale eseguire un assessment approfondito delle misure di sicurezza previste dal potenziale cloud provider. E contestualmente anche delle proprie, anche se si pensa di conoscerle bene, perché è essenziale capire subito se i due ambiti si integrino in maniera ottimale: eventuali aree di sicurezza scoperte rappresentano potenziali falle o vulnerabilità nella cloud security complessiva.

Come tutti gli assessment, poi, questa operazione non è una tantum ma periodica. Cambiano nel tempo i servizi di cui si usufruisce in cloud, cambia quanto l'azienda è cloud-oriented, cambiano le componenti tecnologiche che il cloud provider adotta... Tutto questo impone una due diligence della cloud security da portare avanti nel tempo per individuare i necessari cambiamenti da introdurre.

Evitare incomprensioni

È facile che tra utenti e cloud provider ci siano disallineamenti su alcune misure di sicurezza implementate e incomprensioni su chi ha la responsabilità di gestirne (l'utente, il provider, entrambi) altre. Per evitare rischi va adottato un modello di cloud security condivisa a cui non tutte le imprese sono abituate e che introduce, almeno all'inizio, nuove complessità per l'IT.

Un elemento importante da ricordare è che il cloud provider ha sì l'obbligo di garantire la sicurezza della propria infrastruttura, ma non diventa il gestore "totale" dei nostri dati. La fetta maggiore della protezione delle informazioni resta comunque sulle spalle dell'utente. E non è raro che una impresa dia per scontata la protezione dei suoi dati in cloud da parte del provider mentre, inconsapevolmente, apre le falle che li mettono in pericolo.

Accessi e privilegi

Uno dei punti più critici della cloud security sta nel controllo inadeguato su chi può accedere ai dati e ai sistemi in cloud e con quali livelli di privilegio. Le piattaforme e le procedure di identity/access management che l'azienda ha in essere devono allinearsi con l'ambiente cloud e comprenderlo (o federarsi con esso, il che introduce nuove complessità).
I cloud provider offrono funzioni specifiche in questo senso ma non bisogna considerarle a priori sufficienti, come si dovrebbe fare per qualsiasi offerta di cloud security (e non solo) standard. È necessario anche in questo caso verificare che le funzioni di controllo siano in linea con le nostre necessità - ad esempio che siano allo stesso livello nei requisiti di robustezza e rotazione delle credenziali di accesso - e che non ci siano aree grigie che permettano accessi impropri (qui il mancato o improprio deprovisioning è sempre un classico).

La visione globale

Con il passaggio al cloud cambia la gestione del ciclo di vita delle informazioni e delle risorse aziendali da parte dell'IT, che non ne ha più il completo controllo diretto pur mantenendone la responsabilità. Anche in questo caso il principio è quello della "due diligence": le funzioni di management e protezione offerte dal cloud provider sono necessarie ma quasi mai sufficienti e comunque generiche, non è detto che siano del tutto adatte alle nostre necessità.

Passare in cloud richiede un maggiore controllo sui propri dati, risorse e applicazioni. Non una minore attenzione. Proprio perché il loro liclo di vita si svolge in buona parte fuori dall'IT aziendale, è necessario avere soluzioni di data/application discovery e management che indichino sempre quali dati si posseggono, dove si trovano, quali applicazioni/servizi li gestiscono e come. Sono informazioni fondamentali sempre, diventano critiche quando si tratta di cloud security.