Cloud Transformation: come migrare i dati in sicurezza

Mentre il paesaggio digitale muta velocemente, sempre più aziende e professionisti sentono l’esigenza di affrontare un percorso di Digital Transformation che permetta di tenere il passo del cambiamento, se non addirittura di anticiparlo.

In questo contesto, la Cloud Transformation è passata da scelta opzionale a necessità concreta per tanti: PaaS, SaaS, sistemi di pagamento, pubblica amministrazione, agenzie operanti nell’aerospace e nel healthcare, società di videosorveglianza e di VoIP, ma anche eCommerce e persino categorie professionali come commercialisti, avvocati, ecc.

Questa forte spinta alla digitalizzazione porta benefici in termini di efficienza e versatilità dei sistemi, ma solleva potenziali rischi che devono essere necessariamente anticipati e affrontati con le dovute accortezze per garantire la sicurezza dei dati.

In questo articolo, parleremo di cloud tranformation e di cybersecurity, e poi affronteremo alcune delle tematiche più pressanti con il punto di vista informato di chi si occupa di questa materia.

Che cos’è la Cloud Transformation?

Cosa significa cloud transformation? La cloud transformation è il processo di trasferimento asset aziendali nel cloud allo scopo di ottimizzare i processi aziendali, la redditività e la sostenibilità.

Il processo di migrazione in cloud riguarda infrastruttura, software/app e dati. Si tratta di un percorso tecnicamente complesso che parte dall’analisi delle necessità dell’azienda fino alla migrazione vera e propria, attraverso la definizione di una roadmap che garantisca la continuità di servizio, l’integrità di tutti i sistemi coinvolti e la tutela dei dati trattati.

Quali sono i vantaggi della Cloud Transformation?

Un’organizzazione che sceglie di affrontare un processo di cloud transformation è mossa principalmente dalla volontà di ridurre il gap tecnologico con i competitor. Sono poche le società che la scelgono per acquisire un vantaggio competitivo.

È importante capire che la digital transformation non è un’imposizione, né un obbligo, bensì una reale opportunità che tutte le aziende, piccole, medie e grandi, dovrebbero sfruttare quanto prima.

La digitalizzazione, infatti, non va a vantaggio delle sole attività quotidiane, ma anche della strategia aziendale in termini di:

• Efficienza e flessibilità: l’accesso diretto e in autonomia alle informazioni elimina i colli di bottiglia permettendo ai membri di un’organizzazione di essere più rapidi e accurati allo stesso tempo.
• Scalabilità: efficienza e flessibilità a loro volta attivano sistemi scalabili e facilmente ripetibili per altri progetti, in minor tempo e con meno risorse.
• Riduzione dei costi: l’investimento iniziale sarà ammortizzato nel tempo grazie all’abbattimento dei costi del lavoro interno, l’eliminazione dei colli di bottiglia dovuti al rallentamento delle lavorazioni.

Ovviamente, non è un processo che avviene dal giorno alla notte né è la panacea per tutti i problemi tecnologici di un’impresa. Né è esente da rischi.

Quali sono i rischi per la sicurezza legati alla Cloud Transformation?

Uno dei rischi per la sicurezza più comuni è il cosiddetto account hijacking, ossia l’appropriazione dei dati di accesso a un account allo scopo di rubare i dati salvati in cloud. Legato a questo c’è anche un altro rischio, ossia la perdita di dati. Ciò può verificarsi se un hacker prende il controllo dell’intero servizio cloud e cancella tutti i file.

Se è vero che la crittografia attiva un ulteriore livello di protezione, spesso può divenire un’arma a doppio taglio poiché anche le chiavi di crittografia sono soggette a operazioni di furto o manomissione.

Tuttavia, non si tratta solo di tutelarsi contro i rischi provenienti dall’esterno. Chi adotta soluzioni in-cloud deve sapersi proteggere anche dai rischi interni: fin troppo spesso, gli hacker raccolgono informazioni sui dipendenti delle aziende entrate nel loro mirino e riescono facilmente a entrare nei portatili e negli smartphone degli ignari dipendenti che, una volta collegati alla rete aziendale o al cloud da remoto, forniscono una via d’accesso diretta.

Altri rischi rientrano più nell’alveo del percepito: molte organizzazioni spesso oppongono resistenza alla Cloud Transformation sollevando perplessità legate al timore di perdere il controllo sulla propria infrastruttura, applicazioni e dati.

Tutto ciò non significa che la trasformazione digitale e la migrazione verso soluzioni in-cloud siano un susseguirsi di rischi e patemi d’animo per l’azienda! Ma è chiaro che la cybersecurity deve essere una priorità e che le organizzazioni devono investire in adeguate misure di sicurezza informatica come la trasmissione sicura dei dati, l’autenticazione e il rilevamento delle minacce.

Come attuare correttamente la Cloud Transformation

Implementare la cloud transformation nella tua azienda è una mossa strategica, ma capire come farlo in modo efficace, efficiente e sicuro richiede particolari misure e metodologie.

• Valutare il livello di prontezza – È importante sottolineare che la migrazione verso il cloud richiese anzitutto la predisposizione dei giusti controlli di sicurezza. Se il tuo scopo è la sola migrazione dei dati, investire troppo tempo e risorse in questo processo è inutile. Meglio rivolgersi a un provider di servizi cloud.
• Creare un piano di migrazione – La migrazione dei dati va accuratamente programmata e monitorata per garantire la preservazione dei dati e la continuità aziendale. Un fornitore di servizi cloud raccoglie le tue esigenze, analizza la situazione e determina processi e requisiti, per creare un piano di migrazione personalizzato.
• Scegliere l’approccio. Il tuo piano di migrazione dovrebbe delineare quale approccio dovrebbe adottare la tua azienda quando si sposta sul cloud. La maggior parte delle aziende utilizzerà un approccio cloud ibrido, che fonde ambienti cloud e on-premise, ma non è detto che sia anche la tua scelta.
• Scegliere gli strumenti – Oltre alla metodologia, occorrono strumenti idonei a garanzia del risultato, della sicurezza, della continuità e della salvaguardia continua. Questo aspetto è fondamentale e andrebbe considerato come un investimento anziché un costo. 
• Implementare il piano – Un fornitore di servizi cloud dovrebbe fornirti tutti gli strumenti, le risorse e il supporto necessari per eseguire la trasformazione del cloud. Pretendili e, se non ti convince, cambia fornitore.
• Monitoraggio e aggiornamento continuo – Soprattutto, chi affronta un processo di cloud transformation deve comprendere che la cybersecurity non è uno strumento bensì un percorso che non si esaurisce mai perché le minacce informatiche cambiano quotidianamente.

Questa è l’ABC della Cloud Transformation, ma se vuoi saperne di più, ti consiglio di proseguire la lettura con la nostra intervista a Marco Scognamiglio, Conformity Manager di OVHCloud!

Intervista a Marco Scognamiglio, Conformity Manager di OVHCloud

1. Quali sono le minacce più comuni per chi usa il Cloud per la propria attività od organizzazione?

Esistono molti tipi di minacce per chi utilizza sistemi informatici, siano essi in cloud od on-premise. Occorre sfatare l’assioma che “Cloud uguale più rischioso per definizione”, perché la maggior parte delle minacce possono impattare sia asset locali che esternalizzati. 

Ormai non esiste azienda, processo od organizzazione che non sia connessa al web, fosse anche solo per la ricezione e l’invio di e-mail. La maggior parte degli attacchi parte proprio da e-mail di phishing o dalla ricezione di allegati malevoli. 

Quello che cambia dunque tra on-premise e in cloud è il perimetro che si deve mettere in sicurezza. 

Le minacce cyber che possono impattare un’azienda sono sostanzialmente due: la compromissione dei dati e l’indisponibilità dei servizi.

Entrambe le cose arrecano un danno all’azienda colpita in termini di mancato guadagno per l’interruzione del servizio fornito, di costi per il risarcimento dei clienti a loro volta impattati, per il ripristino dell’operatività e per la messa in sicurezza dei sistemi evidentemente vulnerabili, il danno di immagine e in alcune situazioni le sanzioni pecuniarie che possono essere applicate da Garante della Privacy in caso di compromissione di dati sensibili.

Partiamo dal primo caso: già nel 2006 Clive Humby, data scientist e matematico, ha dichiarato che “i dati sono il nuovo petrolio” ad indicare che il valore di un’azienda è dato dalla capacità di raccogliere, elaborare e conservare i dati su cui si basa il proprio business.

Che siano informazioni strategiche, progetti, contenuti multimediali o altro, viene da sé che la compromissione di dati (Data Breach) rappresenta il rischio più grande per l’azienda.

Questo può accadere in diversi modi come, ad esempio, tramite attacchi Ransomware, che agiscono tramite virus Malware, fatti scaricare all’utente incauto, che criptano i dati in modo da renderli inutilizzabili con lo scopo di ottenere un riscatto in cambio della loro “liberazione”, o tramite Data Exfiltration al fine di ottenere informazioni riservate o comunque di valore da rivendere sul black market o ai competitor.

La seconda tipologia di minacce che può colpire un sistema informatizzato è la procurata indisponibilità di uno o più servizi vitali per l’azienda o per il suo business.

Questo può avvenire attraverso attacchi DDoS, che operano saturando le risorse di un servizio per renderlo offline, o tramite DNS Cache Poisoning o DNS spoofing attack che deviano il traffico web dal server legittimo verso uno falso che a sua volta potrebbe appropriarsi di dati critici in modo fraudolento.

Queste tipologie di attacco sono note e il più delle volte evitabili con semplici azioni preventive, ma spesso l’azienda tende a sottovalutare la possibilità di essere oggetto di attacco informatico, pensando erroneamente che il proprio business non possa cadere nel mirino di Cyber Criminali.

E questo è proprio il motivo principale che rende ancora efficaci la maggior parte degli attacchi moderni.

2. Cosa deve fare l’azienda?

Proprio per quanto detto sopra, un’azienda ad oggi deve considerare come certa la possibilità di cadere vittima di attacchi cyber e adottare un approccio Zero Trust. 

Come suggerisce il nome stesso, questo si concretizza definendo delle policy che impongano di verificare sempre la legittimità di utenti, strumenti, perimetri di accesso e tutto ciò che può consentire il verificarsi e il propagarsi di un attacco informatico sulla propria infrastruttura, anche se dovesse apparire come superfluo.

Il risultato di una corretta applicazione di un approccio Zero Trust sarà quello di diminuire drasticamente la possibilità di cadere vittima di attacchi cyber e contemporaneamente ridurre al minimo i danni nel caso un attacco andasse comunque a segno.

Occorre la consapevolezza che non esiste una soluzione che garantisca l’immunità totale. La Cyber Security non è uno strumento statico che, attivato una volta così com’è, tutela l’azienda a vita. 

La Sicurezza Informatica va intesa come un processo dinamico, continuo, trasversale a tutti gli asset aziendali e multilivello: mezzi, tecnologie e procedure di sicurezza si devono integrare a quelle già presenti nell’organizzazione.

Inoltre, la Sicurezza Informatica non è un’attività o una materia che può essere relegata solo ad una specifica area aziendale o demandata ad un’unica figura responsabile. La Cyber Security deve diventare una responsabilità aziendale, assunta da ogni singolo dipendente o collaboratore, interno ed esterno che sia.

Una politica di Sicurezza Informatica è forte solo se ogni singolo dipendente è adeguatamente informato, coinvolto e responsabilizzato.

Ogni persona che ha accesso ai sistemi aziendali, anche come semplice utente, può essere il punto di accesso per un attacco informatico che sfrutti vulnerabilità sui perimetri di autorizzazioni delle credenziali, rendendo possibile sfruttare tecniche come il Lateral Movement o il Privilege Escalation, o per effettuare del Social Engineering e arrivare al management e mettere a segno attacchi più gravi.

3. Cosa serve per tutelarsi?

Due cose apparentemente molto semplici: occorre acquisire la consapevolezza della propria vulnerabilità e occorre accettare di implementare le misure necessarie per mettersi in sicurezza.

Il primo strumento irrinunciabile è di sicuro il Risk Assessment, un documento redatto da soggetti competenti, consulenti esterni o responsabili interni qualificati, frutto di una attenta analisi dei sistemi interni aziendali ed esterni correlati. 

Data la complessità e la molteplicità degli aspetti da valutare, probabilmente è l’attività più critica per un’efficace politica di sicurezza informatica.

Il documento analizza gli strumenti e i processi aziendali alla ricerca di vulnerabilità potenzialmente critiche, individuando per ciascuna la probabilità che venga sfruttata per un attacco, il potenziale danno che potrebbe generare e le azioni correttive applicabili per mitigarne appunto la probabilità e/o l’impatto.

Fortunatamente tale attività può essere semplificata rifacendosi a strumenti esistenti e universalmente riconosciuti efficaci come quello proposta dal NIST con il Cybersecurity Framework (CSF) e le relative integrazioni o i requisiti individuati dalla Certificazione ISO27001.

Dopo la redazione del Risk Assessment non resta che implementare le azioni correttive individuate, prioritizzandole e scadenzandole in base gravità e probabilità del rischio e alle esigenze contingenti dell’azienda. 

Qui di solito è dove si incontrano le maggiori resistenze da parte del Management perché i costi per la Cyber Security ancora oggi sono percepiti come una spesa, piuttosto che come un investimento da mettere a confronto con il danno economico e d’immagine che arrecherebbe un attacco informatico riuscito.

Altra azione molto importante è la scelta dei partner tecnologici e dei provider. Il mercato propone una molteplicità di opzioni possibili. 

Fortunatamente, chi utilizza servizi cloud e informatici in generale è sempre più attento all’aspetto dell’affidabilità dei propri Partner, ci è stato più volte testimoniato dai tanti che hanno scelto OVHcloud per la forte attenzione alla Sicurezza e al rispetto della Sovranità dei Dati.

L’Unione Europea, con il GDPR, ma anche con sentenze epocali come quella di Schrems II del 2020, ha indicato le linee guida per un corretto utilizzo dei sistemi informatizzati nel rispetto dei dati dei cittadini e le imprese appartenenti alla CE. 

È importante quindi scegliere come Partner o Fornitore chi, come noi, può dimostrare la propria affidabilità attraverso le Certificazioni e Qualifiche riconosciute a livello mondiale, come la ISO27001, ma anche a livello Europeo e Nazionale come, ad esempio, l’HDS per il trattamento dei dati sanitari richiesta dalla Francia o l’AgID richiesto dall’Italia per ospitare dati delle Pubbliche Amministrazioni o assimilate alle PA. 

A tutto questo deve sempre fare capo una trasparenza totale nel rapporto Cliente-Fornitore, altro aspetto anche questo fondante dei valori di OVHcloud.

4. Quanto costa?

Per poter valutare gli investimenti della Cyber Security occorre avere il quadro completo: va confrontato il vero costo di tutti i danni diretti e indiretti di un attacco informatico con quello della predisposizione di misure tutelative. 

Più volte ho accennato al costo che può avere per un’azienda subire un attacco informatico: il mancato guadagno per disservizio, il costo di risarcimenti e penali, il costo del ripristino dell’operatività, la messa in sicurezza dei sistemi, il danno di immagine e le eventuali sanzioni amministrative. 

In alcuni casi l’azienda impiega del tempo per recuperare capitali e credibilità, in casi estremi può comportare anche la chiusura. 

Alla luce di questo possiamo analizzare quanto occorre investire in Cyber Security procedendo per step.

Le prime azioni da implementare assolutamente, per assurdo, hanno un bassissimo impatto economico, ma un’altissima efficacia. Un’azienda partendo da pochi semplici punti potrebbe scongiurare la maggior parte delle minacce.

Mi riferisco ad esempio ad una politica di IAM, ma in generale di gestione delle credenziali efficace, che preveda l’utilizzo di password forti, doppi sistemi di autenticazione (2FA) o l’impiego di dispositivi di autenticazione password-less come quelli biometrici.

Altra misura molto importante e sempre sottovalutata è il continuo aggiornamento di software, driver e sistemi operativi. Stupisce come ancora oggi l’obsolescenza dei sistemi sia ancora una delle prime cause di riuscita di un attacco. 

Il cosiddetto Patching continuo è un’azione fondamentale e spesso non comporta grande impegno di energie e fondi da parte dell’azienda, ma va bene strutturata perché sia ciclica e non ci si può far scoraggiare da incompatibilità legate a limiti applicativi o strumentali.

Infine, la formazione di personale e collaboratori, che sia specifica per i ruoli che lo richiedono o generica per tutte le funzioni. Infatti, una Cultura della Sicurezza a livello aziendale garantisce una diminuzione rilevante di cadere vittime di attacchi di phishing o di essere infettati da malware a seguito di download incauto di file malevoli da parte del personale.

Queste tre semplici ed essenziali misure di prevenzione consentono investimenti accessibili da parte di tutte le organizzazioni.

Da questo punto in avanti esistono diversi livelli di sicurezza da considerare in base alla complessità aziendale, numero di dipendenti, numero di uffici, diffusione del personale in più sedi, criticità del servizio fornito o dei dati trattati.

Ad esempio, in OVHcloud, offriamo di default misure che riteniamo essenziali come il nostro sistema anti DDoS attivo su tutti i servizi, oppure altre in opzione come soluzioni di backup, con Veeam Backup, soluzioni di alta disponibilità, con ZERTO. Quindi parte della sicurezza informatica passa per strumenti terzi da attivare on top dei propri sistemi.

Altri aspetti di sicurezza sono forniti a livello di infrastruttura, come la suddivisione dei servizi offerti su perimetri via via sempre più restrittivi. 

In OVHcloud a tale proposito viene fornito un livello base, dove le misure di sicurezza sono quelle che dovrebbe garantire di default qualunque fornitore di servizi cloud, e poi abbiamo ulteriori livelli come la Trusted Zone specifica per il trattamento di dati europei con datacenter dedicati, dove tutta la filiera di produzione, attivazione, gestione e dismissione del servizio viene seguita da personale europeo e specificatamente formato.

Poi le misure adottabili sono davvero tantissime, dall’attivazione di SOC interni o esterni per un monitoraggio costante di traffico e sistemi, alla creazione di Red Team e Blue Team per testare con delle simulazioni cosa accade quando si subisce un attacco e come si è in grado di reagire.

Naturalmente il grado di sicurezza che si vuole dare ai propri sistemi IT deve essere commisurato alla criticità dei propri prodotti o servizi. Più il servizio offerto da un’azienda sarà ritenuto critico, più i costi della Sicurezza Informatica saliranno, ma tutto è commisurato alle peggiori conseguenze che avrebbe un attacco andato a buon fine.

5. Quali sono i vantaggi non ovvi per chi applica corrette misure di CS?

Direi che in conclusione chi investe in sicurezza informatica risparmia. Perché ha la serenità di non cadere vittima di attacchi informatici finalizzati all’estorsione e può vantare una continuità operativa anche in caso di eventi che richiedano il ripristino tempestivo di dati o sistemi corrotti.

L’adozione di strategie di sicurezza informatica, inoltre, consente un migliore posizionamento nel mercato influenzando positivamente la brand reputation e dando una spinta notevole al business.

Quindi è bene cominciare a parlare di Cyber Security in tutte le aziende e adottare di default almeno le misure più basilari. 

L’effetto sarà una complessiva riduzione dei crimini informatici andati a segno, una rinnovata fiducia nei sistemi informatizzati e nel cloud e un “Sistema Paese” complessivamente più forte, perché ogni azienda messa in sicurezza è una garanzia in più per tutte le altre collegate direttamente o indirettamente a essa.