Cinque passi per un'elevata sicurezza dei dati nel cloud

Quando le aziende trasferiscono interi processi aziendali nel cloud, gli obiettivi aziendali attesi possono essere raggiunti solo se la migrazione è garantita fin dall'inizio da una strategia di sicurezza informatica completa, in cui la sicurezza dei dati svolge un ruolo decisivo. NTT Sicurezza concretizza le attività più importanti in cinque fasi.

1. Identificare e classificare i dati

All'inizio, le aziende devono stabilire quali applicazioni e dati devono essere trasferiti dal proprio data center a un provider cloud durante la migrazione. Ad esempio, è necessario chiarire che tipo di dati si tratta e se si tratta di dati personali, perché in tal caso si applicano le severe norme del GDPR. In quali applicazioni verranno utilizzati i dati, da chi e come? Viene solo letto o viene anche elaborato? Il modello di sicurezza viene costruito sulla base di queste informazioni.

2. Definire il livello di protezione per ogni fase del flusso di lavoro.

In base alla classificazione e alla valutazione del rischio dei dati, è necessario determinare il livello e la classe di protezione per ogni fase del carico di lavoro. È necessaria la crittografia e, in caso affermativo, quando: durante la trasmissione, durante lo stoccaggio, a livello di campo? Sono necessari pseudonimi o token? Dove devono essere conservate le chiavi di crittografia? On-Premisesdirettamente con il cloud provider o con un cloud provider separato?

3. Definire le regole per il controllo degli accessi

Per ottenere un elevato livello di protezione, i dati non devono essere accessibili senza protezione in qualsiasi momento durante un processo aziendale. Si deve inoltre garantire che le copie dei dati memorizzati o archiviati siano protette durante il trattamento allo stesso modo degli originali e che tali copie siano cancellate quando non sono più necessarie. A seconda dei ruoli ricoperti in azienda, vengono assegnate le autorizzazioni di accesso e viene monitorata la conformità in modo che nessuna persona non autorizzata possa leggere, copiare, modificare o cancellare i dati.

4. Registrate tutti gli accessi ai dati nei file di log

Le aziende devono collegare le regole per la concessione delle autorizzazioni di accesso con una gestione completa dei log. I log di accesso registrano e memorizzano tutte le attività dei dati. Queste registrazioni e la valutazione di tutti gli accessi ai dati e di altri eventi rilevanti per la sicurezza sono un prerequisito per un monitoraggio continuo della sicurezza informatica. Da un lato, l'analisi dei file di log consente di riconoscere gli eventi insoliti e di determinarne le cause, dall'altro supporta le aziende nella tracciabilità di tutte le attività durante gli audit di sicurezza.

5. Osservare il ciclo di vita dei dati

La conservazione dei dati è regolamentata in dettaglio nei servizi finanziari, nella tecnologia medica, nel settore chimico-farmaceutico e in altri settori. La protezione dei dati personali durante il loro intero ciclo di vita è regolamentata dal GDPR, indipendentemente dal fatto che i dati si trovino nel data center dell'azienda o nel cloud. Per le aziende, ciò significa che devono mantenere il controllo completo sui dati personali in ogni momento, dalla raccolta all'elaborazione fino all'archiviazione. Questo vale per le applicazioni individuali e standard, indipendentemente dal fatto che siano on-premise o nel cloud.

"La discussione sull'uso delle tecnologie cloud non è più dominata dalle preoccupazioni per la sicurezza. Oggi le aziende vogliono soprattutto sfruttare le opportunità che ne derivano per guidare la trasformazione digitale", spiega Franck Braunstedter, Senior Manager Cyber Defense and Cloud Security di NTT Security Germany. Con il supporto esterno, le aziende sono in grado di gestire le sfide di sicurezza informatica specifiche del cloud in tutte le fasi di una migrazione.

Fonte: NTT Sicurezza