Affidabilità e sicurezza dei dati sul Cloud

I servizi cloud offrono facilità d’uso e flessibilità di configurazione e dimensionamento, ma i rischi per la sicurezza dei dati sono concreti e sempre più invasivi.

I principali aspetti da valutare, secondo Solve.it sono i seguenti:

  • Governance: valutare la “maturità” del cloud provider in tema di cyber security. policy, framework di cyber security management system, processi per la gestione dei rischi di sicurezza, sia interni sia legati alla catena dei sub-fornitori, selezione, sensibilizzazione e formazione del personale.
  • Compliance: si valuta la capacità del provider di soddisfare i requisiti di conformità a leggi, regolamenti e standard di riferimento per il cliente. Include tipicamente la conformità alle normative privacy (ad esempio, il GDPR), l’ubicazione geografica dei data center e di conseguenza dei dati, eventuali coperture assicurative nel caso di data breach e la disponibilità a fornire evidenze di conformità a standard e regolamenti.
  • Business Continuity: si analizza la capacità del provider di garantire la continuità dei servizi offerti  e dunque dei dati. 
  • Si valutano processi, procedure soluzioni tecnologiche (backup, reti, datacenter presenti in territori diversi etcc), in altre parole tutto ciò che può mitigare le conseguenze un disastro esteso, dovuto sia a eventi naturali che ad azioni deliberate o errori.
  • Infrastructure Security: include le misure di sicurezza fisica e ambientale (dal controllo degli accessi fisici a impianti anti-incendio e allagamento), di sicurezza delle reti (segmentazione, sicurezza perimetrale, accessi remoti sicuri, IDS/IPS ecc.) e delle architetture di virtualizzazione (ad esempio, multi tenancy per segregare i dati di clienti diversi).
  • Identity & Access Management: fanno parte di questa categoria le misure per il controllo degli accessi logici a sistemi, apparati, servizi e applicazioni, Include soluzioni di user e password management, strong authentication.
  • Data Protection: consente di valutare la capacità del provider di proteggere i dati dei clienti da accessi e modifiche non autorizzati. Include la crittografia sia dei dati memorizzati , sia di quelli in transito (ad esempio a/da i sistemi dei clienti), le procedure di gestione delle chiavi crittografiche (key management), le soluzioni/procedure di backup e restore e la gestione/restituzione dei dati alla cessazione dei contratti.
  • Host, Middleware & Application Security: include le misure per la sicurezza dei server fisici, quali antivirus, hardening e patching, WAF e code inspection.
  • Operation & Monitoring:  si tratta di vulnerability assessment, il tracciamento, il monitoraggio dei log, strumenti e procedure per la gestione e la notifica degli incidenti di sicurezza.

Solve.it ha una esperienza pluriennale su questi servizi,partendo dalla business continuity in materia di backup/replica per siti di Disaster Recovery con diverse soluzioni, a proseguire con la tematica di identity & access management con software di memorizzazione password, 2 factor authentication/strong authentication e a finire con Application Security con WAF e Antivirus di diversi major Brand.

Condividi questo articolo: