Una discussione sul gruppo di LinkedIn CSA mi ha fatto tornare alla mente un tema a me molto caro e di cui ho scritto sul blog di HANC un articolo in due parti:
- http://hanc.altervista.org/2012/12/il-cloud-e-la-sicurezza-dei-dati-prima-parte/
- http://hanc.altervista.org/2012/12/il-cloud-e-la-sicurezza-dei-dati-seconda-parte/
I dati sono al sicuro nel Cloud?
Questa domanda deve, a mio avviso, essere posta assieme ad un’altra domanda fondamentale: i dati sono al sicuro a “casa mia” o “tra le mura della mia azienda”?
Sicuramente spostare i dati da una risorsa locale ad una risorsa remota in qualche misura rende il dato più accessibile, se non altro perché il Cloud Provider dovrà darci un accesso remoto ai dati, cosa che non deve necessariamente avvenire all’interno delle mura dell’azienda ma che in realtà avviene costantemente.
Come? Ormai qualsiasi azienda ha una copertura wireless per l’accesso alla propria LAN, copertura che va ben oltre i confini fisici dell’immobile… e per quanto ci si sforzi di rendere questa rete sicura essa sarà sempre un punto di accesso particolarmente semplice da sfruttare (mi riprometto di fare un post anche sulle vulnerabilità intrinseche delle reti locali wireless). Il risultato è che un accesso abusivo alla wireless LAN (WLAN) potrebbe mettere a repentaglio i dati dell’azienda.
Ma anche nel privato il rischio è estremamente elevato… molti di noi hanno Hard Disk di rete o piccole Media Station interconnesse alla wireless domestica. Accedere a questi dispositivi non è difficile per chi sa condurre un attacco ad una rete wireless. E la privacy ce la possiamo scordare.
Sicuramente un Cloud Provider, anche non eccelso, non avrà un accesso wireless che espone i dati del proprio Datacenter, cosa che a livello di “area uffici” è praticamente una costante, banche e aree militati comprese.
Dal punto di vista dell’accessibilità del dato possiamo dunque dire che tenerlo lontano da una rete wireless non è una cattiva idea. Questo requisito è ovviamente fattibile anche all’interno della propria infrastruttura di rete ma richiedere un minimo di conoscenze ed investimenti, altro tema su cui i servizi offerti dal Cloud Provider ci aiutano trasformando l’investimento in un canone di servizio, spesso decisamente più semplice da affrontare da chi si occupa delle finanze dell’azienda.
E per quanto riguarda la protezione dei dati sensibili da occhi indiscreti? Su questo tema sposto quanto emerge dalla discussione che citavo ad inizio post su CSA: i dati vanno in qualche misura “criptati” o “tokenizzati”, ovvero resi sicuri dalla necessità di dover effettuare una operazione di decodifica per accedervi, operazione possibile sono a chi è in grado di eseguire l’encryption o a chi possiede il token. A tal proposito sono disponibili diversi servizi e software.
Il tema è ampio e spesso si perde di vista il contesto generale. La questione non è se il cloud è sicuro o no, la questione è se i dati sono trattati in modo sicuro o no, a prescindere da chi li ha in gestione. Nella mia esperienza professionale di solito constato che i Cloud Provider hanno infrastrutture e conoscenze idonee alla protezione dei dati, non posso dire lo stesso delle aziende che ne usufruiscono dove anche il più skillato degli Amministratori di Sistema deve scontrarsi con problematiche di budget e facility che lo vincolano ad adottare tecnologie non sempre sicure.