La crisi? È solo una verifica delle decisioni già prese - CorCom

ANALISI

La crisi? È solo una verifica delle decisioni già prese

Troppo spesso si fanno scelte di servizi di cloud e sicurezza basati sull’offerta commerciale più che sulla reale analisi delle necessità. E prendere la decisione sbagliata è un errore che si paga quando arriva la situazione di crisi. Alcuni spunti su come affrontare temi sempre più importanti come lo storage nella nuvola

07 Lug 2014

Antonio Dini

Per molte aziende l’opportunità offerta dal cluod è una calamita alla quale è difficile resistere. Riduzione dei costi, aumento delle opportunità, nuovi servizi, scalabilità, accessibilità continua dei dati, 24 ore al giorno, sette giorni alla settimana, da qualsiasi posizione dotata di connessione alla rete. Questo è vero non soltanto per quanto riguarda l’accesso alle applicazioni ma anche e soprattutto per l’archiviazione dei dati, i servizi di storage.

Il problema si pone quando si vanno a guardare i rischi connessi. I livelli di servizio vengono stabiliti apposta per dare sicurezza alle aziende in questo senso, ma ancora non esistono contratti standard che siano sempre scritti in maniera perfettamente comprensibile. E soprattutto in caso di perdita dei dati o, ancora peggio, di loro furto, cosa succede in concreto?

La paura delle aziende ad investire nel cloud, sostengono gli esperti di Database Journal, rivista specializzata in temi di archiviazione dei dati, è legato anche a questo: dare i propri dati confidenziali in mano a una terza parte esterna, che è in grado di archiviarli in posti molto lontani da dove si trova il committente e che magari fa riferimento a un foro legale in caso di controversie che si trova in legislazioni aliene, con costi molto elevati solo per poter esercitare i propri diritti di rappresentanza legale.

Accanto all’ottimismo per la possibilità di accedere ai dati ci dovrebbe essere anche una matura consapevolezza dei rischi che si corrono e del problema di analisi connesso: se si è troppo “leggeri” nel seguire le indicazioni di soluzioni standard si rischia di non dare adeguato spazio alle peculiarità del proprio tipo di business. Fino a che tutto va bene, non ci sono problemi. Ma in caso di attacchi dei pirati digitali, rotture della sicurezza o furto/perdita dei dati, non tutte le aziende sono create uguali. Molte, sempre di più al giorno d’oggi, basano la loro attività sulla presenza online, sulla possibilità di utilizzare il back end per l’archiviazione in tempo reale e il front end per le transazioni, sui sistemi di archiviazione continua e hanno dei guadagni in termini di efficienza oltre che di costi nell’utilizzare soluzioni erogate via cloud. Ma cosa succede quando il cloud si trasforma in un nemico? Quante aziende piccole e medie possono sopportare di restare tagliate fuori dai propri dati digitali per un giorno o una settimana? E se una parte andasse perduta per sempre?

Le ricette per la protezione dei dati nella nuvola sono molto simili a quelle che si possono avere in sede locale. Trend Micro, F-Secure e varie altre aziende specializzate in sicurezza informatica soprattutto con attenzione al cloud hanno nel tempo costruito soluzioni adatte alla difesa dei dati nella nuvola. Ricorrere a degli esperti in via preventiva è meglio che non farlo a danno già avvenuto.

E parlando di prevenzione, alcuni aspetti che sono utili. Il primo è legato alla crittografia: una volta che i dati sono stati forniti al servizio di cloud, si possono avere misure ulteriori in maniera tale che anche nello scenario che vengano rubati siano lo stesso impenetrabili. Un esempio è la crittografia: assicurarsi che il servizio di storage sia crittato, che vengano mantenuti standard elevati di sicurezza e che siano magari adottate strategie come la zero knowledge policy: i nomi dei documenti e delle cartelle vengono offuscati con una serie di stringe di testo senza significato che vengono ritradotte in tempo reale una volta attivate sul computer degli utenti. Non sembra così importante per pochi dati ma con milioni di documenti questo fa la differenza tra rendere utilizzabile oppure no il materiale sottratto.

Senza contare che è possibile crittare i dati su servizi che non conservano i dati per l’accesso sui propri server. Questo vuol dire che, a meno di non riuscire con un attacco “a forza bruta” che richiede tantissimo tempo (millenni, con l’attuale potenza di calcolo), l’attaccante non è in grado di “aprire” i documenti salvati sul server di condivisione nella rete. Il punto debole è che se il proprietario dei dati dimentica la password, non potrà mai più accedere ai propri documenti. Oppure, se la tratta con troppa disinvoltura, un attaccante particolarmente motivato può metterci le mani sopra e vanificare anche questa protezione.

Come sostiene il guru della security, Bruce Schneier, la sicurezza è un trade-off tra usabilità e protezione. Il dato più è protetto e meno è usabile, e viceversa. Sta alle aziende, alla loro capacità di fare analisi, di capire quale protezione è adeguata: nella rete, nei server locali, con password, con crittazione integrale? La crisi, cioè l’attacco o l’evento dannoso, non è un imprevisto, ma solo la verifica delle decisioni prese nel passato.

Argomenti trattati

Approfondimenti

F
f-secure
S
server
S
storage
T
trend micro