Le regole del cloud perfetto

Stiamo vivendo un’epoca in cui sempre più persone scelgono di salvare i propri file nel cloud, attratti da praticità, sicurezza e riduzione dei costi. Tuttavia, insieme a questi vantaggi emergono anche interrogativi e rischi: i dati nel cloud sono realmente protetti da minacce informatiche, perdite o violazioni?

Se il provider di servizi cloud adotta una strategia di cyber security completa e ben strutturata, studiata per contrastare rischi e minacce informatiche, l’infrastruttura cloud moderna può risultare estremamente sicura e affidabile e quindi,nella maggior parte dei casi i dati conservati nel cloud risultano più protetti rispetto a quelli archiviati su dispositivi locali quali computer, hard disk o chiavette USB.
Questa sicurezza può, e deve, essere ulteriormente rafforzata da parte del consumatore, attraverso l’adozione di alcune semplici e buone pratiche per la gestione e la protezione delle informazioni.

Rischi per la sicurezza del cloud

Ma quali sono i rischi se non vengono adottate le giuste misure di sicurezza?

Tra i pericoli esterni troviamo gli accessi non autorizzati, con conseguente violazione dei dati: i cybercriminali sfruttano configurazioni errate, credenziali compromesse, controlli di accesso deboli e vulnerabilità software per infiltrarsi nei sistemi e sottrarre informazioni sensibili, o addirittura cifrare i dati e chiedere un riscatto per il loro ripristino. 

Un altro rischio direttamente collegato all’uso dei sistemi cloud è la violazione di conformità del servizio; le organizzazioni devono assicurarsi che la gestione dei dati nel cloud sia conforme alle normative (es. GDPR), poiché la mancata conformità può comportare sanzioni elevate e danni reputazionali.

Le caratteristiche di un cloud affidabile

Al fine di scegliere un servizio cloud affidabile che garantisca la protezione dei dati, è necessario assicurarsi che integri una serie di misure fondamentali. 

La prima di tali misure è la gestione degli accessi, attraverso l’uso di policy e strumenti che vadano ad assicurare l’accesso ai dati solamente agli utenti autorizzati; inoltre deve essere possibile assegnare permessi mirati di accesso in base alle esigenze di ogni utente o gruppo, riducendo così al minimo i privilegi superflui.

In secondo luogo troviamo la protezione dei dati che passa innanzitutto attraverso la crittografia: la cifratura deve essere applicata ai dati a riposo (quelli conservati) che a quelli in transito, per impedirne la lettura da parte di soggetti non autorizzati.
Inoltre, è fondamentale che siano previsti dei backup periodici, oltre che procedure di ripristino, al fine di garantire la continuità del servizio anche in caso di incidenti.

Devono poi essere garantita la gestione delle minacce, ad esempio attraverso il monitoraggio continuo degli ambienti cloud, al fine di individuare tempestivamente attività sospette e neutralizzare attacchi come malware, phishing o DoS.

Per finire, il servizio cloud deve essere conforme alle normative vigenti, come il GDPR o altri standard specifici del settore (ISO 27017-18, per esempio), oltre che offrire la trasparenza operativa,ovvero la visibilità sulle procedure e sulle misure di sicurezza adottate, consentendo alle aziende di verificare facilmente la conformità.

Non è solo responsabilità del fornitore

Come accennato nell’introduzione, la sicurezza nel cloud si basa su un modello di responsabilità condivisa, in cui mentre il fornitore del servizio garantisce la protezione dell’infrastruttura e dei servizi offerti, al contempo il cliente deve adottare le misure necessarie per salvaguardare i dati all’interno dell’ambiente cloud.

Di seguito vediamo alcune semplici regole di buon senso che chi usufruisce di servizi cloud deve seguire:

  • mantenere sempre aggiornato il software, poiché le applicazioni e i software non aggiornati possono lasciare aperte le porte a intrusioni. Nonostante sia responsabilità del fornitore del servizio mantenere il software aggiornato nei propri data center, è bene assicurarsi che non sia necessario aggiornarlo anche localmente;
  • gestire e se necessario limitare l’accesso ai dati alle sole persone autorizzate;
  • monitorare le attività svolte nel cloud, come gli accessi, i download, ecc.;
  • eseguire backup regolari dei dati seguendo la cosiddetta strategia 3-2-1 ( tre copie, archiviate su due supporti diversi, di cui uno deve essere esterno al cloud);
  • usare password forti e uniche: le password devono essere sufficientemente lunghe, contenenti lettere, numeri e caratteri speciali e soprattutto non devono contenere informazioni personali o essere usate per più account;
  • usare la MFA ( autenticazione multifattoriale), oltre che password forti;
  • essere prudente nell’utilizzo di reti Wi-Fi pubbliche e usare nel caso una VPN, poiché i criminali informatici utilizzano spesso intercettatori WI-FI portatili e hotspot creati per accedere ai dispositivi personali, soprattutto in luoghi come bar e aeroporti;
  • non condividere informazioni personali sui social media. Ad esempio,  i “giochi” in cui si chiede agli utenti di postare informazioni private, ma che sembrano innocue ( ad esempio il nome del primo cucciolo, il proprio soprannome, ecc.) sono creati di proposito per ottenere informazioni che aiutano a superare le domande di sicurezza.

Scopri il nostro servizio di Cloud Storage sicuro e certificato Pillow