Come Valutare la Sicurezza dei Fornitori di Servizi Cloud: Guida Completa

• Violazioni dei dati: La strada diretta è il tipo di falla più comune (e potenzialmente dannosa) in ambito sicurezza. Le violazioni dei dati accadono spesso nei servizi cloud. Possono verificarsi apparentemente per niente, ma quando succedono possono avere conseguenze devastanti. Capital One ne è un ottimo esempio. Nel 2019, una semplice debolezza nel firewall Amazon Web Services (AWS) ha portato alla pubblicazione dei dati di 100 milioni di clienti. È stato un evento così grave che ora sulla loro homepage esiste un link permanente per informare sugli aggiornamenti relativi alla class action.
• Gestione delle identità e degli accessi (IAM) carente: Circa il 67% dei servizi cloud mondiali è fornito da sole quattro aziende, con AWS che da sola ne copre la metà. Con così tanti clienti, le cose diventano inevitabilmente complicate e le fondamentali politiche IAM possono facilmente sfuggire di mano, causando disastri. I grandi fornitori sono migliorati nel tempo, ma devono ancora lavorare per mantenere solide autenticazioni multifattore e il principio del minimo privilegio, che restano vie d’accesso preferite per enormi fughe di dati.
• Interfacce e API insicure: Una progettazione superficiale delle interfacce può consentire al pubblico di accedere all’ufficio crediti della tua azienda o al team di vendita di vedere dati riservati delle risorse umane. Riuscirai a proteggerti da ciò solo se svolgerai test validi tramite una terza parte che viene premiata per aver individuato punti di rottura nella tua API.
• Poca visibilità e controlli deboli: Nel 2020 alcuni hacker abili hanno utilizzato un attacco alla catena di fornitura per inserire codice malevolo in un appaltatore governativo noto come SolarWinds. Il software contaminato, Orion, si è diffuso lateralmente su vari clienti introducendo backdoor nei loro sistemi. Nessuno si è reso conto di cosa stesse accadendo per circa nove mesi a causa della scarsa visibilità e della quasi assenza di controlli di sicurezza.
• Problemi con il modello di sicurezza condivisa: La sicurezza condivisa riguarda più gli avvocati che gli ingegneri. Un tipico fornitore di servizi cloud si assume la responsabilità dell’infrastruttura cloud e delle componenti che gestisce, mentre la protezione dei dati e dell’eventuale crittografia utilizzata resta a tuo carico.
• Questioni di conformità e regolamentazione: Se la tua azienda tratta dati sanitari negli Stati Uniti, conoscerai HIPAA. Se operi nell’UE ti sarà familiare il GDPR. E in California c’è il CCPA. Se il tuo fornitore non è adeguatamente certificato con gli standard di tutela dei dati personali, c’è una reale possibilità che parte delle multe ricadano su di te, come la multa da 1,2 miliardi di euro inflitta dal governo irlandese a Meta nel maggio 2023 per violazione della privacy. Assicurati, ad esempio, di avere una sostanziale conformità dei dati cloud in atto.
• Minacce avanzate persistenti (APT) e ransomware: Nel maggio 2021 un attacco ransomware alla rete di distribuzione carburanti Colonial Pipeline ha praticamente bloccato le consegne di benzina sulla costa Est. Oltre alle immagini rimaste nella memoria dell’opinione pubblica di persone che cercavano di riempire sacchetti di plastica col carburante, l’incidente ha messo in allarme le autorità. Un singolo attacco sofisticato ha permesso ad attori malevoli di criptare percorsi infrastrutturali cruciali seminando il panico in una dozzina di stati.

Criteri Chiave per Valutare la Sicurezza di un Fornitore di Servizi Cloud

Verifica di Conformità e Standard Legali

• Certificazioni specifiche per il settore: Probabilmente il tuo settore ha degli standard specifici. A seconda della sensibilità del lavoro svolto, questo può significare audit impegnativi e regole di divulgazione severe oppure un controllo superficiale giusto per assicurarsi che non si stia contrabbandando uranio. In ogni caso, il tuo fornitore di servizi cloud dovrebbe possedere tutte le certificazioni richieste nel tuo ambito. Nel settore sanitario, ad esempio, c'è HITRUST, chi lavora con carte di credito deve rispettare lo standard PCI DSS (Payment Card Industry Data Security Standard) e così via. I grandi fornitori solitamente hanno molte di queste certificazioni, come AWS, che ne vanta circa 50.
• Audit di conformità regolari: Le cose cambiano rapidamente nei servizi cloud, e la conformità deve essere continua. Assicurati che il tuo fornitore effettui regolarmente audit di conformità, in particolare per SSAE 16 e altri controlli focalizzati sulla sicurezza.

• Adattamento alle normative in evoluzione: Man mano che la tecnologia cambia, anche le leggi si adeguano (con un leggero ritardo). Informati su come il tuo provider cloud reagisce ai cambiamenti normativi. Offre delle linee guida ai clienti quando ci sono modifiche significative? Hai bisogno di questo supporto? Capirlo subito ti può risparmiare molte seccature in futuro.
• Situazioni particolari: Molti contratti cloud sono standard, soprattutto per piccole e medie imprese. Se la tua azienda è una realtà importante con esigenze particolari, potresti aver bisogno di un contratto negoziato appositamente o almeno di alcune clausole aggiuntive.

JOIN THE COMMUNITY

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Sign up with:

LinkedInGoogleMicrosoft

Or sign up with email:

Instagram

This field is for validation purposes and should be left unchanged.

Name*

First name Last name

Business email*

This field is hidden when viewing the form

Free Account Module

Bottom BarLanding PageFooterInlinePop UpSidebarSSO

LinkedIn profile

Seniority*

Select an optionExecutive / C-suiteVPDirectorManagerIndividual ContributorOther

Company's AI adoption maturity*

Select an optionExploring opportunitiesRunning pilotsScaling adoptionEmbedded in the business model

Garantire una Protezione Solida dei Dati

• Crittografia: La crittografia non è negoziabile. Scegli i migliori sul mercato e affidati a loro (anche escludendo altri fattori). Lo standard del settore attuale è AES-256 e i grandi fornitori come AWS ti permettono di scegliere se gestire personalmente le chiavi o lasciare che se ne occupino loro. 
• Backup e disaster recovery: Un buon disaster recovery è altrettanto fondamentale. I dati non si perdono solo per colpa degli hacker: anche un sistema mal progettato è vulnerabile a perdita di server, incendi o addirittura impatti di asteroidi. Uno dei maggiori punti di forza dei servizi cloud è proprio la capacità di recuperare rapidamente i dati persi. Il tuo fornitore deve avere un piano chiaro per questo e una comprovata esperienza nella protezione dei dati.
• Gestione end-to-end del ciclo di vita dei dati: La gestione del ciclo di vita dei dati è l’insieme di strumenti che comprende classificazione, archiviazione, conservazione e smaltimento corretto dei dati. Per garantire la sicurezza, il fornitore cloud deve avere procedure per ogni fase—come uno studio medico che distrugge i vecchi fascicoli invece di buttarli semplicemente nel bidone dietro l’edificio.

Rafforzare la Gestione di Identità e Accessi

• Autenticazione utente completa: Nessuna delle misure di sicurezza di un fornitore cloud è efficace se chiunque può accedere con la tua password. Il fornitore offre autenticazione multifattoriale? Controlli biometrici? Domande di sicurezza tipo "Dove hai frequentato le superiori?". Può sembrare scomodo, ma più soluzioni di autenticazione hai a disposizione, maggiore sarà la sicurezza dei tuoi punti di accesso.
• Controllo degli accessi: Le persone dovrebbero avere accesso solamente alle risorse necessarie per svolgere il proprio lavoro. Nel mondo delle spie si chiama "need-to-know"; in ambito tecnologico è il principio del privilegio minimo. Verifica che gli utenti siano limitati all’essenziale e che il fornitore non consenta di aggirarsi liberamente tra i database riservati senza autorizzazione.
• Audit trail e report IAM: Il tuo fornitore cloud deve offrire un audit trail trasparente e completo, con dettagli estesi su tutte le azioni degli utenti in ogni ambiente. Evita fornitori che tengono nascosti i dati o che lasciano "zone d’ombra" nei report, dove possono nascondersi minacce alla sicurezza. 

Sicurezza di Rete e Infrastruttura

• Protezione Firewall Moderna: La protezione firewall che ricevi dovrebbe andare ben oltre il semplice filtraggio dei pacchetti che potresti configurare da solo. Cerca un CSP che offra protezione firewall di nuova generazione (NGFW). Questo può rilevare e bloccare tentativi sofisticati sulla tua rete con una capacità superiore rispetto alle soluzioni standard di settore.
• Sistemi di Rilevamento e Prevenzione delle Intrusioni (IDPS): Ricordi l'attacco SolarWinds Orion che ho menzionato prima? Quel disastro si è svolto da attacchi iniziali alla fine del 2019 fino alla correzione definitiva rilasciata a novembre 2020. Il tuo CSP deve saper individuare il malware non appena appare e applicare una correzione il prima possibile.
• API Sicure: L'interfaccia è sempre un punto debole in qualsiasi sistema. Assicurati di avere un'API sicura che utilizzi qualcosa di robusto come QAuth o Google Cloud Endpoints, con la dovuta validazione per mantenere forte la tua interfaccia vulnerabile.
• Precauzioni contro DDoS: Le minacce informatiche da distributed denial of service (DDoS) sono antiche quanto il Morris Worm. È facilissimo per una parte malintenzionata bloccare la tua rete con continue richieste fino a saturare la banda. Cloudflare è il leader del settore, con un’ottima reputazione nella gestione di alcuni dei più grandi attacchi DDoS mai registrati, che raggiungono milioni di richieste al secondo.
• Aggiornamenti e Patch: Il tuo CSP gestisce attivamente l'ecosistema di sicurezza delle informazioni con aggiornamenti e patch regolari contro le minacce più recenti? Nuove vulnerabilità emergono costantemente e qualsiasi servizio cloud dovrebbe essere pronto a gestirle man mano che vengono scoperte.
• Segmentazione Appropriata: Proprio come i transatlantici hanno compartimenti sotto il ponte in caso di collisione con un iceberg, i dati sensibili necessitano di segmentazione e dei propri pacchetti di sicurezza. Si può arrivare anche oltre con la micro-segmentazione, che assegna protocolli di sicurezza unici ai singoli percorsi interni ai processi.

Gestione dei Rischi di Fornitori e Terze Parti

• Sicurezza dei Fornitori per Terze Parti: La maggior parte utilizza fornitori terzi per alcune applicazioni e l'archiviazione dei dati, e tutti devono essere affidabili. Accertati che il tuo CSP verifichi i certificati di sicurezza di tutti i suoi collaboratori, conduca regolari audit di sicurezza e analizzi almeno le loro storie di risposta agli incidenti. Valuta anche il modo in cui il fornitore gestisce la crittografia, l’accesso ai dati e la notifica in caso di violazioni.
• Sicurezza della Filiera: Ogni applicazione e rete è una catena di prodotti e servizi, e una vulnerabilità in qualsiasi punto rappresenta un rischio per l’utente finale, ovvero te. Il tuo CSP deve verificare l'intera catena e validare i certificati di sicurezza lungo tutto il percorso.
• Pianificazione e Risposta agli Incidenti: Eventi negativi possono colpire anche le migliori reti, quindi il tuo fornitore deve avere un piano ben definito di risposta agli incidenti per gestire rapidamente i problemi imprevisti. Può trattarsi di un attacco informatico, un attacco DDoS, il rilevamento di malware, protezione da ransomware o altro.

Sicurezza Fisica e Ambientale

• Controlli Fisici di Accesso: Siamo soliti pensare alla sicurezza dei dati come cifratura e protocolli di accesso, ma il data center è anche un luogo fisico che necessita di serrature e personale di sicurezza. I CTO dovrebbero visitare i data center dei CSP per assicurarsi che dispongano di un livello adeguato di sicurezza fisica.

• Controlli Ambientali: I data center possono essere compromessi anche da incendi o alluvioni. Verifica che il centro disponga di un adeguato sistema antincendio al halon e di sistemi affidabili di controllo della temperatura e dell’umidità. 
• Redondanza e Backup: Per quanto un data center sia ben progettato, i problemi possono comunque accadere. Il tuo CSP deve disporre di sistemi ridondanti multipli e di un piano di backup per ripristinare server danneggiati e dati persi. I sistemi di alimentazione di emergenza (UPS) sono diventati standard, e un livello di protezione RAID personalizzabile è l’ideale.
• Tempi di Risposta e Recupero: I fornitori solitamente ti parleranno dei loro piani di risposta agli incidenti e della frequenza con cui li aggiornano e li testano. Assicurati che abbiano un piano di recupero attivabile in breve tempo. Controlla anche le performance storiche, inclusi i dati relativi a interruzioni e periodi di inattività.

Assistenza Clienti e Considerazioni Legali

• Assistenza clienti: Controlla quale tipo di assistenza clienti offre il tuo CSP. Troppi fornitori hanno tempi di risposta lenti o inesistenti. Assicurati che il tuo provider disponga di diversi canali di comunicazione, come telefono, chat, email e persino messaggi di testo.
• Documentazione completa: I servizi per cui paghi sono complessi e una documentazione chiara è essenziale per capire a cosa ti stai iscrivendo. Leggi le guide utente, i manuali e i protocolli pubblicati dal fornitore.
• Proprietà e portabilità dei dati: I dati sono una risorsa. Prima di firmare il contratto, assicurati di sapere chi è il proprietario dei dati ospitati e quanto siano facilmente trasferibili. Altrimenti, potresti ritrovarti con dati che consideri tuoi bloccati su server remoti e impossibili da spostare.

• Trasparenza nella gestione dei dati e nelle misure di sicurezza: Devi avere una visione chiara su come vengono gestiti i tuoi dati e il tuo fornitore di sicurezza cloud dovrebbe considerare la trasparenza una priorità. Cerca di definire fin da subito come vengono archiviati e trasferiti i dati, quali tipi di sicurezza sono in atto e come vengono mantenuti questi sistemi.
• Supporto legale dopo l’evento: Se i tuoi dati dovessero essere violati, potrebbero sorgere problemi legali. Su quanto supporto puoi contare da parte del tuo CSP? Fingerebbero di non conoscerti o avresti accesso al loro team legale? Condividerebbero la responsabilità o saresti solo? Scoprilo in anticipo e pianifica di conseguenza.

Best practice nella valutazione della sicurezza cloud

Condurre valutazioni approfondite dei rischi

• Identificare e classificare le risorse: Devi sapere cosa stai migrando nel cloud, elencare tutto e classificarlo in base all’importanza. Questo ti permette di definire le priorità rispetto a ciò che necessita della migliore protezione.
• Valutare vulnerabilità e minacce: Nessuna suite di fornitore di sicurezza cloud è infallibile e difendersi da una minaccia può lasciare vulnerabili ad altre. Devi conoscere le tue debolezze meglio degli hacker e tenere d’occhio le minacce specifiche attive in ogni momento.
• Valutare impatto vs probabilità: I problemi minori sono frequenti, quelli importanti sono rari. Tuttavia, una piccola svista è probabilmente trascurabile, mentre una grave violazione potrebbe costringerti a chiudere. Pesa la probabilità di una minaccia rispetto alla sua gravità e pianifica di conseguenza.
• Stabilire i controlli: Scegli la suite di sicurezza in base alla tua valutazione delle minacce. È probabile che tu debba usare un mix equilibrato di controlli di accesso, strumenti di monitoraggio e crittografia sia nel cloud che lato tuo.
• Mantieni una valutazione dei rischi continuativa: Gli scenari di rischio cambiano, a volte anche ogni giorno, e bisogna stare al passo. Tieni sempre aggiornata la panoramica delle minacce da cui ti difendi ed essere pronto a intervenire con modifiche.

Revisionare i Service Level Agreement

• Conosci gli obblighi del tuo CSP: Il fornitore si impegna a offrirti un servizio, ed è importante conoscere tutto ciò che questo comporta. Definisci subito a quali livelli di disponibilità, prestazioni e risposta ai ticket si obbliga.
• Pianifica i rimedi e le penali disponibili: Se il CSP dovesse deluderti e servisse un compenso per il sotto-rendimento, hai già predisposto un set chiaro di rimedi? Di solito si tratta di penali economiche o sconti sui servizi futuri.
• Stabilisci scalabilità e flessibilità: Dopo la migrazione la tua struttura crescerà, quindi assicurati che il tuo nuovo ambiente di cloud computing sia pronto ad ospitare i tuoi sviluppi. Il servizio può scalare rapidamente verso l’alto e verso il basso? Cosa capita se cresci molto velocemente? Hai la possibilità di potenziare i servizi senza interruzioni o resti bloccato con lo stesso contratto?
• Pianifica varie strategie di uscita: Sappi fin dall’inizio come potrai concludere il rapporto. Se mai dovessi lasciare il provider, assicurati di avere un piano di migrazione dati dal loro server verso una soluzione sicura, anche se si tratta solo di un altro fornitore SaaS. 

Usa gli strumenti a disposizione per valutare la sicurezza cloud

• Framework di settore: Esistono già alcuni strumenti a livello di settore per valutare i problemi di sicurezza presso un CSP, come il Cloud Controls Matrix (CCM) della CSA e il Cybersecurity Framework del NIST. Usa questi strumenti come parte della tua lista di controllo pre-migrazione.
• Strumenti automatici: Esistono anche alcuni strumenti avanzati che puoi provare e che automatizzano il processo di scansione delle vulnerabilità e dei requisiti di conformità normativa. Non aver paura di utilizzarli, poiché di solito valgono il prezzo richiesto.
• Gestione della postura di sicurezza cloud (CSPM): Il CSPM può individuare rischi che non hai ancora trovato e prendere misure attive per proteggerti prima che arrivino ai server. Includi questa soluzione nella tua strategia generale contro le minacce.

La sicurezza prima di tutto per i CTO

Come puoi vedere, la migrazione sicura al cloud richiede diverse attenzioni. Molti dei grandi provider, in particolare Microsoft Azure, gestiscono alcuni di questi aspetti per te, ma spetta a te verificare che tutto sia in ordine.

Ho condiviso le mie migliori pratiche per valutare la sicurezza dei fornitori di servizi cloud, ma ci sono molte altre risorse sulla sicurezza cloud a disposizione. E puoi iscriverti alla nostra newsletter per ricevere le ultime novità dai CTO.