Salta al contenuto principale

L’esplosione del cloud vs la sicurezza informatica

Fabrizio Zarri, Cloud Security Architect in Oracle e docente del Master Cyber Security di Experis Academy, ci spiega le conseguenze dell’esplosione dei servizi di cloud computing e le azioni da mettere in campo per preservare al meglio la nostra sicurezza

“Il paradigma, la mentalità e l’approccio alla sicurezza informatica sono cambiati sia da un punto di vista tecnologico che culturale.” Con questa premessa Fabrizio Zarri, Cloud Security Architect in Oracle e docente del Master Cyber Security di Experis Academy, ci permette di fare un approfondimento sulle cause e le principali conseguenze dell’aumento esponenziale dei sistemi informatici per la cyber-security attraverso un’interessante intervista che pone il focus sull’importanza della tematica e sulle nuove figure professionali richieste dal mercato lavorativo.

Fabrizio Zarri

In quest’ultimo anno, la diffusione del cloud è aumentata esponenzialmente e sentiamo parlare sempre più spesso di questa tipologia di servizio. Quali sono stati i cambiamenti maggiormente riscontrati, sia dai privati che dalle aziende, nel suo utilizzo?

Il cloud ha avuto un’esplosione, soprattutto a partire da febbraio del 2020. Già negli anni scorsi, però, molte aziende avevano iniziato un percorso di trasformazione digitale con l’adozione del cloud e lo spostamento progressivo di alcuni servizi, più o meno critici, con differenti percorsi. La pandemia ha poi portato a un’ulteriore accelerazione legata anche alla grandissima diffusione dello smart working. Alcune realtà aziendali non erano ancora pronte ad affrontare il cambiamento cosi come le nuove modalità di lavoro, e hanno riconosciuto nel cloud un forte alleato per permettere ai propri dipendenti di accedere a servizi, anche critici per l’azienda, in modalità più veloce ed efficiente. Esempi concreti sono i numerosi software di messaggistica e di video-conference ma anche l’accesso a servizi di human capital management (HCM) o gestionali ERP. Adottando questo nuovo paradigma, l’accesso tramite cloud risulta molto più semplice, veloce e razionale.

 

All’immane diffusione di questa tecnologia, soprattutto da un punto di vista aziendale, può corrispondere un aumento dei rischi? Se sì, quali possono essere nel concreto?

Certamente! Fino a qualche tempo fa, le imprese consideravano il proprio perimetro aziendale, “casa propria”, come un perimetro di sicurezza e tutto ciò che era “dentro” - in gergo si dice “on-premise” - era considerato altamente sicuro, mentre ciò che era fuori era considerato poco sicuro. L’accesso ai dati – fuori dagli ambienti fisici aziendali – era permesso soltanto a poche persone tramite sistemi di VPN. Con l’adozione del cloud computing, abbiamo assistito a uno spostamento di dati e servizi all’esterno dell’azienda, o a una “convivenza” di sistemi interni ed esterni, in un contesto “ibrido”. È cambiato il perimetro aziendale da proteggere. Questo non viene più identificato tramite il firewall – all’interno del quale stanno i dati – ma tramite l’identità di chi accede e da come accede a questi dati. Tutto questo ha completamente trasformato l’approccio alla sicurezza, che non è più solo legato al fatto che l’utente accede all’interno dell’azienda ma può accedere da qualsiasi luogo, tramite una rete pubblica o una linea privata, a dei servizi anche business-critical per l’azienda. Quindi il paradigma, la mentalità e l’approccio alla sicurezza sono cambiati sia da un punto di vista tecnologico che culturale. E lo si è visto non solo in ambito aziendale ma anche in ambito privato, dove c’è stata un’esplosione della didattica a distanza che ha portato un maggiore utilizzo di queste tecnologie anche da parte dei più piccoli.

 

In questo periodo siamo tutti a casa, quindi protetti da una sicurezza domestica. Quando, invece, inizieremo nuovamente a viaggiare, sfruttando i benefici e la flessibilità dello smart working, e utilizzeremo le reti pubbliche, cosa possiamo fare per limitare eventuali attacchi?

Ci sono delle tecnologie che abilitano un accesso sicuro ai servizi che vanno oltre il concetto tecnologico della VPN. Ci si basa su autenticazioni differenti, autenticazioni intelligenti che permettono di identificare dove mi trovo - se magari sono all’interno di una rete aziendale o connesso da casa mia, che viene considerata una rete più sicura e affidabile (“trusted”) rispetto a una rete pubblica qualsiasi – e, in funzione di dove mi trovo e a cosa devo accedere, mi viene dato un differente livello di “privilegi d’accesso”. Si tratta di un’autenticazione più forte – che si appoggia anche su dispositivi mobili – basata su nuovi paradigmi e nuovi concetti, anche biometrici, molto semplici da utilizzare come le impronte digitali o il Face ID dei dispositivi Apple. Dall’altra parte, invece, dei meccanismi tecnologici in back-end, più evoluti rispetto alla VPN classica, riconoscono da dove, come e a quali dati sensibili sto accedendo e, in funzione di questi gradi e del privilegio d’accesso/affidabilità che ho mi permettono, in maniera dinamica, l’accesso al servizio. Questo mi garantisce elevati standard di sicurezza, a prescindere dal dispositivo che sto utilizzando, facendo leva su strumenti evoluti, su intelligenza artificiale e su analisi del comportamento che permettono di avere una gestione dell’accesso sicura e, allo stesso tempo, semplice, poiché rendere complesso l’accesso potrebbe risultare un problema per gli utenti che sono in mobilità e diminuirne la produttività.

Cyber Security

In questo caso, deve essere il fornitore del servizio a dare dei parametri di sicurezza o deve essere l’azienda utilizzatrice a richiederli?

È una combinazione delle due cose. Da una parte ci sono delle tecnologie - degli standard che mi danno una possibilità in base ai diversi gradi di utilizzo – dall’altra c’è anche la compliance o conformità alla normativa, vedi il GDPR europeo. Ma c’è anche un aspetto culturale e organizzativo: Il processo di trasformazione digitale in atto, le nuove modalità di accesso ai servizi in remote-working e il nuovo panorama delle minacce sta comportando l’evoluzione delle strategie aziendali di cyber-security verso processi e tecnologie più agili e standardizzati, che possano adattarsi alle mutevoli richieste del business e offrire un ambiente sicuro che stimoli l’innovazione e la crescita senza compromettere i livelli di sicurezza. Quest’anno abbiamo visto, infatti, come le aziende che avevano già investito in tecnologie cloud, dotandosi al contempo di certi meccanismi di autenticazione e di accesso ai servizi, non hanno avuto nessun tipo di impatto.  

 

In caso di eventuali attacchi informatici, la responsabilità su chi ricade? Sul fornitore del servizio o sull’azienda cliente?

È naturale che la responsabilità sia condivisa. Quando un’azienda si sposta in cloud, si fa strada il concetto di modello di responsabilità condivisa (shared responsibility). La responsabilità condivisa dipende dal tipo di servizio utilizzato, ne esistono differenti gradi. Ad esempio, per i servizi Software as a Service (SaaS), quali Collaboration, Human Capital Management (HCM), la responsabilità e la gestione dell’infrastruttura è demandata al cloud provider mentre l’azienda cliente, o l’utente privato, è responsabile del censimento dell’identità digitale, e relativo profilo autorizzativo, e della gestione dei dati. Quindi, se succede qualcosa a livello infrastrutturale, è il cloud provider che ne risponde. Se il cliente, invece, si è “dimenticato” un utente attivo e questo ha trafugato dei dati sensibili, la responsabilità non ricade sul cloud provider ma sul cliente stesso. Il recente report “Oracle and KPMG threat report 2020” riporta infatti che, sebbene il 75% dei professionisti IT consideri il cloud pubblico più sicuro dei propri data center, il 92% ammette un significativo divario tra l’utilizzo del cloud e il livello di maturità dei loro programmi di sicurezza. Un numero crescente di aziende identifica, in particolare, la propria mancanza di conoscenza del modello della responsabilità condivisa nella protezione del cloud come causa chiave dei frequenti errori di configurazione e dei problemi di sicurezza riscontrati. Oggi i cloud provider offrono strumenti a valore aggiunto e personale altamente specializzato per proteggersi da eventuali attacchi. La sicurezza non può essere “statica” ma ha un effetto dinamico e le protezioni devono sempre evolvere in funzione delle tipologie di attacco, che oggi sono sempre di più e raffinate. Dunque, è necessario imparare ad essere degli utenti consapevoli e responsabili, e il Master in Cyber-Security di Experis Academy offre un’ottima opportunità per il personale delle aziende di formarsi.

Data Security

Spostando invece l’attenzione sul privato, ci sono delle attività che possiamo fare tutti, nella nostra quotidianità, per limitare quelli che possono essere degli attacchi?   

C’è un forte aspetto di tipo culturale. Oggi, è ancora possibile vedere dei “post-it” posizionati sugli schermi dei PC con annotata una password, o persone che la annotano su taccuini e utilizzano la stessa per miriadi di servizi, con il rischio di un furto delle credenziali di accesso. In questo scenario una cultura della sicurezza, la cultura nell’utilizzo degli strumenti - una cultura sia di accesso ai servizi, sia di gestione delle credenziali di accesso ma anche di gestione del dispositivo che utilizzo - diventa fondamentale. L’altro punto fondamentale è l’attenzione. Ogni volta che arriva un messaggio del tipo “è arrivato un pacco per te”, chiedendo anche delle credenziali, bisogna stare veramente molto attenti perché potrebbe essere un’operazione di phishing. E questo vale non solo per l’utente privato ma anche per dipendenti utilizzatori di servizi aziendali, sui quali ricade la responsabilità rispetto alle credenziali che hanno, agli account e ai dispositivi che gestiscono. Quando ancora viaggiavo spesso per lavoro, in treno notavo pc aperti con dati sensibili esposti alla mercè degli sguardi di tutti i passeggeri. Ecco, queste sono cose da evitare. E questo passaggio lo si fa con la cultura, specialmente sui giovani.

 

Sono nate, nell’ultimo anno, delle nuove figure professionali specializzate in cloud?

Sì, ci sono delle nuove professioni soprattutto legate al mondo della ricerca dei pattern di sicurezza. Sono degli analisti altamente specializzati, con due branche particolari che si sono affermate. La prima è composta da figure che vanno a costituire un team offensivo. Quindi una figura che, in modalità normata, si simula come se fosse un hacker e va ad individuare all’interno dell’azienda potenziali falle di sicurezza a cui questa è esposta. Poi ci sono figure professionali molto tecniche che sono esperte nell’ambito difensivo e che sono in grado di utilizzare tutte le nuove tecnologie a disposizione - quindi i nuovi strumenti di intelligenza artificiale, i nuovi flussi – per interpretare le segnalazioni che arrivano dal team offensivo così da prevenire gli attacchi informatici attuando azioni di mitigazione e difesa. C’è anche una terza professione che si sta affacciando e che appartiene all’ambito della compliance. Se l’azienda deve affrontare un percorso di trasformazione digitale, un percorso di migrazione dei servizi verso il cloud, si deve adeguare al contesto normativo, al GDPR, che è diventato sempre più complesso. In sostanza, si tratta di una figura dedicata all’ambito organizzativo che detiene anche competenze tecniche poiché si occupa di risolvere tutta la parte di conformità alle normative di un’azienda, interpretando alcuni dettami e calandoli nel relativo contesto aziendale.

 

Qual è il contributo che Oracle, nella figura di Fabrizio Zarri, porta all’interno del Master in Cyber-Security di Experis Academy?

Oracle è un provider di cloud di seconda generazione, quindi sicuro fin dalla sua progettazione e ingegnerizzazione (“secure by design”), e l’aspetto della cultura della sicurezza è stato per noi un aspetto fondamentale fin dall’inizio. È uno delle colonne portanti sia da un punto di vista di progettazione che di erogazione dei servizi. Ci differenziamo, infatti, rispetto ad altri, per la fornitura di servizi cloud di livello “enterprise” – adatti quindi alle grandi aziende ed organizzazioni pubbliche con requisiti molto stringenti su performance e sicurezza – il che permette ai clienti di trasformare i propri processi business critical e portarli all’interno del cloud. All’interno del Master porterò sicuramente la mia expertise – con un’esperienza ventennale nella security – e racconterò come un cliente può portare in cloud i propri servizi specie se mission-critical, illustrando tutti gli aspetti relativi alla sicurezza e alla compliance che devono essere presi in considerazione. L’anno scorso abbiamo anche affrontato la tematica della shared responsability, la responsabilità condivisa: una percezione scorretta di questi concetti può infatti portare a una serie di problemi legati alla gestione della sicurezza da parte di tutti i soggetti coinvolti (lato provider, lato azienda cliente e lato utente privato). Mostrerò tutti gli strumenti offerti dalle infrastrutture cloud di Oracle (IaaS, Infrastructure as a Service) per risolvere la parte di responsabilità condivisa. Infine, gli studenti saranno coinvolti con degli esempi pratici che hanno lo scopo di incrementare ulteriormente le competenze nell’ambito della sicurezza informatica.

 

La partenza del Master è prevista a giugno e si potrà accedere previo colloquio conoscitivo.

Se sei interessato a partecipare, scopri qui tutti i dettagli.

Altri Articoli

  • La Motor Valley cerca Talenti
  • Next Generation Skills per la Formazione dei Professionisti dell’ICT ed Engineering
  • Experis Academy inaugura, in collaborazione con ELIS, la nuova sede a Roma.
  • Al Kilometro Rosso è in partenza il primo Master italiano in Blockchain
  • Una nuova stagione nel settore motorsport con i master Experis Academy
  • Siglata la partnership con Intesa Sanpaolo