La giusta strategia cloud
Di quanta agilità ha bisogno la vostra azienda? E quanto controllo sui propri dati? Non è facile trovare un equilibrio tra la sovranità digitale e la sicurezza. Zero Trust e una strategia cloud ibrida e basata sul rischio aiutano.
Il cloud è considerato un importante motore della digitalizzazione. Le aziende ne hanno bisogno per portare più velocemente sul mercato nuovi prodotti e servizi, per scalare in modo flessibile e per risparmiare sui costi IT. Ma c'è anche un aspetto negativo: Spostando i carichi di lavoro nel cloud, si perde un po' di controllo. Può essere pericoloso. Perché i dati e la tecnologia costituiscono oggi la base del successo aziendale. Il loro controllo è fondamentale per la propria sovranità digitale. Nel cloud pubblico questo diventa difficile, perché si utilizzano infrastrutture IT gestite dall'esterno. Le aziende non sanno né quali componenti vengono utilizzati né dove sono stati sviluppati e resi resilienti. Inoltre, esiste un conflitto legale in termini di protezione dei dati, soprattutto con i grandi hyperscaler americani: in caso di indagine penale, il Cloud Act statunitense prevale sul GDPR - anche se esiste un accordo aggiuntivo e il data center si trova nell'UE.
Determinare la necessità di sovranità
Tuttavia, le aziende non devono rinunciare completamente al cloud pubblico. Perché la sovranità digitale non è una decisione o l'una o l'altra. Il modo migliore è piuttosto un approccio ibrido che combina diverse varianti di cloud. Il motto è: massima agilità possibile e massimo controllo necessario. Si tratta di trovare l'ambiente che offra il giusto livello di sovranità per ogni tipo di dati e per ogni applicazione. A tal fine, occorre innanzitutto analizzare le esigenze e valutare i rischi. Quali tipi di dati e asset digitali sono presenti in azienda? Quanto sono sensibili e preziosi? Quali danni causerebbe una perdita o un guasto? Chi accede a quali dati e come vengono trasferiti? Ne consegue la necessità di protezione e di un modello di cloud appropriato e delle relative misure di sicurezza.
Scegliere il cloud giusto
La stragrande maggioranza dei dati di un'azienda è di solito non critica e può essere spostata senza esitazione nel cloud pubblico senza restrizioni. Per i dati rimanenti, è importante verificare se possono essere adeguatamente protetti con le funzioni di sicurezza native del cloud provider e con controlli esterni aggiuntivi. Si tratta di una nuvola controllata. Se questo non è sufficiente, il passo successivo è il cloud affidabile: si tratta di servizi cloud certificati secondo gli standard di sicurezza nazionali o dell'UE, ad esempio SecNumCloud (Francia), C5 (Germania) o EUCS (UE). Un cloud affidabile di questo tipo è particolarmente adatto a scenari in cui le aziende devono soddisfare determinati requisiti normativi.
Infine, i servizi di cloud privato disconnesso offrono il massimo livello di controllo. Sono completamente sotto la propria sovranità, ma sono i meno agili. Inoltre, le aziende devono fare a meno di funzionalità come i servizi PaaS e le funzioni serverless.
Stabilire la fiducia zero
Soprattutto in ambienti non controllabili o controllabili solo parzialmente, è consigliabile implementare un modello di fiducia zero. A niente e a nessuno deve essere concesso il beneficio del dubbio. Invece, tutti gli accessi e le richieste di rete devono essere autenticati, indipendentemente dal fatto che siano interni o esterni. La gestione dell'identità e degli accessi (IAM) secondo il principio del minor privilegio di accesso è fondamentale per questo: a ogni utente e a ogni risorsa devono essere concessi solo i diritti assolutamente necessari. Inoltre, i dati e la loro trasmissione devono essere criptati. Anche la formazione dei dipendenti è importante. La migliore tecnologia di sicurezza è inutile se le persone si lasciano ingannare dai criminali informatici.
Conclusione
Con una strategia cloud ibrida, basata sul rischio e sulla fiducia zero, le aziende possono beneficiare dei vantaggi del cloud e rimanere comunque sovrane dal punto di vista digitale. Il modo migliore per implementare entrambi è la collaborazione con un fornitore di servizi specializzato. Aiutano a identificare i rischi, a selezionare i servizi cloud adatti e ad adottare misure di sicurezza adeguate. Infine, ma non meno importante, la stessa sovranità digitale sta diventando un importante fattore competitivo. Dopotutto, oggi i clienti apprezzano la protezione dei dati e la sicurezza informatica.
Questo articolo tecnico è apparso nell'edizione stampata SicherheitsForum 4-2022. Volete leggere gli articoli di questa edizione? Allora chiudete subito qui un abbonamento.
