Automazione Oggi 451

42 AUTOMAZIONE OGGI 451 SOLUZIONI SOFTWARE PER L’INDUSTRIA Il giusto approccio al cloud S SI LE SOLUZIONI IN CLOUD PORTANO EVIDENTI VANTAGGI IN TERMINI DI SICUREZZA INFORMATICA E DEI DATI, MA ALLO STESSO TEMPO INTRODUCONO NUOVE MINACCE DOVUTE ALL’ESPANSIONE DELLA SUPERFICIE DI ATTACCO S SI in tempo reale Se da una parte l’adozione di un ambiente cloud riduce l’onere operativo della gestione della propria infrastruttura conmaggiore semplicità a livello di aggiornamenti e la relativa sicurezza diventa di pertinenza del Cloud Service Provider (CSP), dall’altra parte, il cloud modifica drasticamente il perimetro difensivo delle aziende che evidentemente non può più essere circoscritto a un unico dominio interno; questo costringe le aziende a rivedere e aggior- nare le proprie strategie difensive. Diventa quindi un imperativo definire la sicurezza e la protezione dei dati in cloud diviene un modello di responsabi- lità condivisa tra il CSP e il cliente. I CSP forniscono generalmente la sicurezza fisica dell’infrastruttura cloud, mentre il cliente e nello specifico il reparto IT dell’azienda è responsabile della configurazione dei controlli degli accessi, della gestione dei criteri di sicurezza e della protezione dei dati all’interno della nuvola. Una responsa- bilità che dipende anche dal tipo di servizi offerti che possono essere erogati sfruttando infrastrutture cloud distinte tra IaaS, PaaS e SaaS. Va da sé che la Francesco Vigiani corretta applicazione del modello di responsabilità condivisa tra service pro- vider e clienti consente di sfruttare al meglio i vantaggi della cloud security e, di conseguenza, mitigare i rischi di un ambiente cloud non correttamente configurato. Lavorando a stretto contatto da quasi vent’anni con tante realtà aziendali pubbliche e private, in HiSolution ( https://hisolution.it ), MSP specializzato in soluzioni tecnologiche in ambito VoIP, UCC, networking, security e IT, che eroga servizi end-to-end con supporto NOC al cliente, sempre più spesso notano che le strutture IT delle organizzazioni con cui collaborano non sono adeguate né in termini numerici né in termini di competenze per poter ge- stire in autonomia la sicurezza, dal controllo degli accessi, ai criteri di sicu- rezza fino alla protezione dei dati. La difficoltà non è tanto nell’individuare i prodotti più idonei, quanto nell’avere il tempo e le risorse per poterlo fare in forma continuativa e costante. Ma soprattutto per godere appieno dei vantaggi offerti dal cloud computing e allo stesso tempo mitigare i rischi di una sua integrazione nelle infrastrutture aziendali è necessario rispettare alcuni principi base come protezione dei dati; gestione delle identità e degli accessi; adozione di strumenti e misure di continuità operativa e disaster re- covery; definizione di policy da integrare nei processi di sviluppo di prodotti e servizi; configurazione corretta degli asset del cloud; gestione centralizzata della cloud security; continuous monitoring. È, inoltre, necessario prevedere un piano di manutenzione che garantisca la ridondanza e il backup dei dati e preveda anche una politica di patching, ricordando che è a carico dei ser- vice provider la gestione degli aggiornamenti e delle patch di sicurezza del software, mentre spetta ai reparti IT delle organizzazioni l’aggiornamento dei propri servizi. Fonte: foto Shutterstock Come ridurre le falle di sicurezza del software? Ѐ il software che promuove l’innovazione e permette alle aziende di progredire nella trasformazione digitale, consentendo loro di fornire servizi e programmi in modo più efficiente, trasparente ed economico. Per questo morivo, i responsabili IT e di sicurezza concordano sull’im- portanza di mantenere sempre aggiornate applicazioni e soluzioni tecnologiche. Utilizzare queste ultime in versioni obsolete e non applicare le più recenti patch al software permette ai criminali informatici di sfruttare molto più facilmente le vulnerabilità per accedere a informazioni sensibili, lanciare attacchi denial-of-service o addirittura prendere il controllo dei sistemi. Oggi gli sviluppatori hanno a disposizione nume- rosi tool per velocizzare le proprie attività sulle applicazioni, ad esempio di strumenti di automazione, tecnologie cloud-native, architetture a microservizi e codice open source: questo però introduce anche nuove complessità e rischi per la protezione aziendale. Poiché il mondo