Creare valore nel cloud in modo sicuro? Il segreto sta nella gestione della “Security as code” (SaC). A chiarire la dinamica, illustrando i benefici della SaC per il business e i requisiti per una sua corretta implementazione, è il nuovo report di McKinsey dal titolo, “Security as code: the best (and maybe only) path to securing cloud applications and systems” (CONSULTA QUI IL REPORT).
Lo studio fa notare come la SaC rappresenti attualmente il meccanismo migliore per sviluppare le competenze fondamentali in tema di sicurezza del cloud e gestione dei rischi. Catturare il valore del cloud, infatti, richiede alla maggior parte delle aziende di integrare il cloud nel business e nelle tecnologie, guidarne l’adozione nei domini aziendali prioritari e stabilire le competenze fondamentali necessarie per estendere l’uso del cloud in modo sicuro ed economico.
I benefici e i requisiti della SaC in azienda
In questo contesto, la SaC offre tre benefici principali che consentono di estrarre valore dal cloud in modo sicuro: innanzitutto consente di operare a una maggiore velocità, in secondo luogo permette di ridurre il rischio e, infine, è un fattore di abilitazione del business, in quanto espande le opportunità di innovazione e creatività del prodotto senza comprometterne la sicurezza.
L’implementazione della SaC richiede un sostanziale cambiamento di procedure, architettura e cultura per quasi tutte le aziende. Per questo motivo, molte aziende hanno trovato utile utilizzare il quadro di riferimento della SaC per classificare i carichi di lavoro in base alla loro criticità e quindi applicare controlli specifici, in base al rischio del carico di lavoro e al tipo di implementazione.
Tale approccio fornisce – secondo il report – un “modello di architettura a prova di futuro e delinea le decisioni chiave da prendere per implementare in modo efficace ed efficiente la SaC attraverso vari casi d’uso in ambito automazione”. Infine, il quadro definisce come il modello operativo dell’azienda deve cambiare per estrarre tutti i benefici dell’adozione del cloud.
Le fasi di implementazione
Nello specifico, lo studio McKinsey chiarisce che le fasi di implementazione della SaC prevedono alcuni step specifici. Innanzitutto una classificazione del rischio, del modello di distribuzione e standard/policy: dopo aver classificato la sensibilità e la criticità del carico di lavoro e dei suoi dati, il passo successivo è quello di applicare politiche specifiche che possono essere istanziate come codice. Per arrivare a questo livello, le organizzazioni tipicamente devono affrontare tre step per ogni area di controllo: la prima è quella di identificare e scrivere nuove procedure che tengano conto delle tecnologie che non sono presenti on-premises. Quindi, le aziende dovrebbero modificare le policy esistenti per gli ambienti on-premises per integrarsi con il contesto di sicurezza unico del cloud. Infine, tutte le policy, esistenti e nuove, devono essere scritte a un livello di dettaglio sufficiente a consentirne la traduzione in codice.
Si passa quindi ad occuparsi di architettura e automazione. Una volta che l’organizzazione ha stabilito un solido quadro di classificazione del rischio e definito le sue politiche per il cloud, il successo dell’implementazione della SaC dipende dalle decisioni chiave in fase di progettazione architettonica e dall’esecuzione delle giuste soluzioni di automazione. Come per le procedure, sarebbe necessario mappare queste decisioni sulle aree di controllo prioritarie dell’organizzazione.
Infine ci si rivolge al modello operativo e al collegamento alla più ampia strategia cloud. Quando si intraprende un viaggio verso il cloud e si adatta la sicurezza di conseguenza, la maggior parte delle aziende adotta un approccio technology-first. Per quanto sia importante il cambiamento tecnologico, tuttavia, le aziende devono evolvere il loro modello operativo per raggiungere l’automazione della sicurezza dell’intero ciclo di vita.
Sicurezza da ostacolo a strumento abilitante
Il report conclude che troppo spesso la sicurezza è vista come un ostacolo all’adozione del cloud. Quello che dovrebbe essere un processo di implementazione senza soluzione di continuità che incorpora la sicurezza fin dall’inizio, diventa un procedimento prolungato alla ricerca di un equilibrio tra soluzioni cloud e meccanismi di sicurezza legacy. Lunghe approvazioni che vanno dalle valutazioni di terze parti alle modifiche del firewall non solo diminuiscono la proposta di valore complessiva del cloud, ma aumentano anche la necessità di rischiose eccezioni di policy per soddisfare i requisiti aziendali. La SaC prova a capovolgere questa tendenza e posizionare i Ciso come facilitatori del business.
