Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Cloud si, Cloud no…

Massimiliano Brolli : 24 Agosto 2020 13:35

Articolo di: Massimiliano Brolli
Data pubblicazione:
24/08/2020

Il Cloud e come l’elettricità...

Vuoi diventare un Ethical Hacker?
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
375 593 1011  per richiedere informazioni dicendo che hai trovato il numero sulle pagine di Red Hot Cyber

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Può essere accesa o può essere spenta, rapidamente, in base alle TUE esigenze.

Ha un team di professionisti dedicati che si assicurano che il servizio fornito sia sicuro e disponibile, 24 ore su 24, 7 giorni su 7. 

Quando l’elettricità non la usi, non stai solo risparmiando, ma non stai pagando perché le risorse non ti servono.

Ma quanto è fico, vero?

Le informazioni sono il potere per la società di oggi e a differenza del servizio energetico, dell’acqua, occorre porsi delle precise domande prima di mettere nelle mani di aziende terze, i tuoi gioielli della corona.

Quando sei di fronte alla scelta se andare nel Cloud, oppure rimanere nei tuoi Data Center, quando stai firmando un contratto con il tuo Cloud Service Provider (di seguito CSP), queste domande te le poni mai? 

  1. Qualora i tuoi dati fossero violati, quanto grave sarebbe il problema per la tua azienda?
  2. Quanto ti fidi del tuo Cloud Service Provider?
  3. La fiducia ti basta?
  4. Quanto sei sicuro che faranno tutto il possibile per proteggere i tuoi dati?
  5. Se fossero all’interno del tuo Data Center, ti sentiresti più al sicuro?
  6. Il tuo Cloud Service Provider, firmerebbe un accordo con il quale ti garantirebbe di effettuare delle attività di controllo di sicurezza?

Sono semplicissime domande, ma a mio avviso sono le prime da porsi quando si è di fronte ad un contratto con un CSP. Anche perché mentre l’applicazione prima risultava esposta solo sulla tua internet aziendale, con il paradigma Cloud sarà visibile su internet, aumentando la superficie potenziale di attacco in maniera esponenziale.

Ricordatevi sempre, che se i dati sono stati inviati al tuo CSP, e questo mette a disposizione una interfaccia web (che gira all’interno dei suoi Data Center) per visualizzare i tuoi dati in chiaro, vuol dire che quasi sempre anche questo ultimo è in possesso della tua chiave privata per poterli decifrare.

Questo concetto seppur fine, spesso viene poco compreso o posta poca attenzione, e i CSP rispondono sempre… tranquilli, tutto è cifrato, i tuoi dati sono dentro una “cassaforte inviolabile” e invisibili dai nostri Addetti IT.

Il concetto di costo e di risparmio (sul quale si basa completamente il paradigma Cloud) ha portato ancora più in basso l’esigenza di sicurezza informatica soprattutto nei CSP molto piccoli.

Inoltre se il CSP è piccolo, potrebbe non avere una corretta postura in termini di sicurezza informatica, ma al contrario, se il CSP è grande, avremo maggiori garanzie che la sicurezza venga gestita bene, ma potrebbe essere influenzato da altre politiche, vanificando (di fatto) una ottima sicurezza implementata.

Relativamente al discorso certificazioni, le SOC consentono alla clientela di comprendere la postura Cyber di un determinato CSP, preferibilmente la SOC2, più di dettaglio e più tecnica. Ma sicuramente poter verificare in campo con le “proprie mani” è ben diverso che leggere un foglio di carta.

Quindi, se si tratta di affidare i propri “gioielli della corona” ad un CSP, potrebbe valere la pena non fidarsi, soprattutto se questo sia una azienda piccola e con poco budget da dedicare alla sicurezza informatica.

Non dobbiamo avere paura del Cloud.

Dobbiamo però essere consapevoli delle scelte che andremo a fare, in quanto non è equivalente ad essere abbonati al servizio elettrico oppure ad una semplice rivista.

Massimiliano Brolli
Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.
Visita il sito web dell'autore