EUR
it
- es
- pt
- fr
- en
- de
Pubblicato il 01/10/2019
S21sec ha sviluppato un decalogo in cui raccoglie e analizza i rischi specifici associati agli ambienti di servizi cloud: un insieme di minacce che devono essere prese in considerazione quando si affronta qualsiasi strategia cloud.
"Le tecnologie cloud offrono indubbiamente molti vantaggi alle aziende di oggi, sia in termini di investimenti che di manutenzione", afferma Jorge Hurtado, Vice President of Managed Services di S21sec. "Tuttavia, questi sono ambienti sempre disponibili e 'aperti', quindi suscettibili di essere attaccati in qualsiasi momento e a cui è essenziale aggiungere anche un gruppo di rischi associati al proprio ecosistema".
Gli esperti dividono le minacce legate al cloud in tre tipi: minacce interne, minacce esterne, entrambe comuni con altri ambienti tecnologici, e rischi specificamente associati al cloud. Questi ultimi, che di solito sono i meno considerati, possono essere dovuti al provider dell'ambiente cloud stesso o direttamente ai servizi offerti.
Di seguito è riportato un decalogo in cui sono contemplati tutti questi rischi:
Minacce interne: insider, errori di utilizzo, mancanza di consapevolezza e conoscenza.
Minacce esterne: campagne mirate, malware, gruppi di minacce persistenti avanzate (APT) o hacktivist.
E tra le minacce specifiche legate al cloud, gli esperti analizzano i seguenti punti:
Servizi di supporto: i servizi cloud sono sempre disponibili, il service desk è pronto a controllarli?
Ritmo del cambiamento: il cloud è un ambiente in continua evoluzione e trasformazione. È possibile adattarsi al proprio ritmo?
Nuovi elementi: le applicazioni cloud utilizzano nuovi elementi di comunicazione. L'azienda sa come controllarli?
Cloud diversi: è possibile utilizzare servizi da cloud diversi sulla stessa infrastruttura, l'azienda sa come interagiscono?
Uso delle risorse: in questi ambienti si paga per risorsa consumata, è possibile evitare l'uso improprio?
Microservizi: il cloud fornisce l'accesso a contenitori e microservizi, è possibile proteggere questa tecnologia?
Modifiche normative: queste variazioni si verificano frequentemente, è possibile adattare rapidamente i processi all'aggiornamento.
Controllo dei criteri: criteri diversi influiscono sulle applicazioni, sono sotto controllo?
Gli esperti di S21sec sottolineano che è necessario considerare tutta questa serie di rischi quando si progetta la strategia quando si opta per soluzioni cloud. Questa attività richiede di fare affidamento su framework (come i controlli CIS o il framework NIST internazionale), nonché elementi di sicurezza (sia nativi del cloud che di terze parti) e tattiche specifiche.
In una seconda fase di progettazione, inoltre, gli esperti sottolineano che affrontare il 100% dei vettori di sicurezza è molto costoso e può influire sul funzionamento dell'azienda quando non è necessario soddisfare i requisiti. Pertanto, è essenziale considerare la specificità dell'azienda in questa fase di progettazione e implementare strumenti per verificare la conformità e confermare che tutti i requisiti stabiliti siano stati rispettati.
Infine, gli esperti sottolineano che poiché ci sono tanti elementi da tenere in considerazione, il monitoraggio è un pilastro fondamentale: avere visibilità globale degli ambienti cloud ridurrà al minimo i tempi di rilevamento e risposta.
Il cambio di paradigma posto dal cloud aumenta la superficie di esposizione delle risorse digitali con valore di business alle minacce e aggiunge nuove sfide legate alla tecnologia. "Avere un partner solido a cui appoggiarsi può aiutare a superare la sfida della mancanza di esperienza nella gestione di tutta questa serie di rischi e consentire all'azienda di concentrarsi solo sul proprio business", conclude Hurtado.
COMMENTI
Nessun commento dei clienti per il momento.