Garantire la sicurezza nella Cloud collaboration oggi è uno degli obiettivi che le aziende devono mettere in cima alle loro priorità. Soprattutto in un contesto come quello attuale che, a causa della crisi pandemica, ha reso sempre più diffusi modelli di lavoro basati sullo smart working e sul remote working, è diventato imprescindibile il ricorso a piattaforme di collaborazione Cloud-based a prova di attacchi e violazioni.
Secondo i dati dell’ultimo rapporto Clusit, nel primo semestre del 2020 si è registrato il 7% in più di cyber attack rispetto allo stesso periodo del 2019, complici le misure per il lockdown che hanno esposto un maggior numero di lavoratori alle minacce informatiche. Da qui l’esigenza di identificare alcuni requisiti indispensabili di sicurezza affinché la Cloud collaboration possa offrire alle aziende strumenti di comunicazione e condivisione resilienti ed efficaci. In particolare, questi requisiti devono comprendere crittografica integrata, compliance normativa in materia di privacy e business continuity.
La crittografia, primo requisito per la sicurezza della Cloud collaboration
Il primo requisito per la sicurezza nella Cloud collaboration è dato dalla crittografia che deve proteggere tutte le comunicazioni e la condivisione di informazioni aziendali che avvengono tra vari endpoint, fissi e mobili. Gli standard che deve contemplare l’applicazione utilizzata dall’azienda, ad esempio, si devono attenere a protocolli universalmente noti come il TLS (Transport Layer Security), il protocollo SRTP (Secure Real-Time Transport Protocol) e il protocollo SSL (Secure Sockets Layer), tutti adoperati per rendere sicuri i dati in transito. Analogamente è necessario mettere in sicurezza i dati “a riposo”, cioè nella fase dello storage in Cloud. Poiché, infatti, in questo caso vige la regola dell’esternalizzazione al provider di questa funzione, che non viene assolta su server aziendali on premise, è opportuno verificare che il fornitore possegga adeguate certificazioni in materia. La più conosciuta è la norma ISO/IEC 27001 che attesta l’adesione a una serie di procedure tecnico-organizzative inerenti la gestione della sicurezza delle informazioni.
La compliance necessaria per rispettare le norme in materia di privacy
A differenza della norma ISO/IEC 27001 che ha carattere volontario, esistono altri regolamenti a cui le aziende devono attenersi scrupolosamente per essere compliant alla legge in vigore. Con riferimento all’Italia e all’Europa, oggi la normativa su privacy e tutela dei dati personali è il GDPR (General Data Protection Regulation). Qualsiasi comunicazione tra persone che lavorano nella stessa azienda o che coinvolga stakeholder all’esterno deve uniformarsi a quanto previsto da tale provvedimento. Ciò significa che la sicurezza nella Cloud collaboration non può prescindere da questo requisito di compliance. Il provider deve, quindi, essere in grado di garantire la conformità delle interazioni che transitano sulla propria infrastruttura Cloud, altrimenti pone a rischio di sanzioni l’azienda che ne usufruisce. Tale conformità deve rispettare quanto prevede il GDPR se le comunicazioni riguardano il territorio europeo, ma allo stesso tempo deve prevedere l’adesione ad altri regolamenti, quale potrebbe essere ad esempio il programma statunitense FedRAMP.
La sicurezza nella Cloud collaboration contro i downtime imprevisti
Il terzo requisito indispensabile per la sicurezza della Cloud collaboration è rappresentato dalla business continuity. Questa caratteristica si basa sulla tipologia dei data center proposti dal Cloud provider e sulla loro capacità di ridondanza. I livelli di disponibilità della business continuity possono raggiungere fino a una percentuale pari al 99,99%, cioè garantire periodi di downtime che non superano più di qualche secondo nell’arco di un anno. Non basta, infatti, preservare i dati aziendali dai cyber attack se poi non vi è la certezza che anche gli incidenti naturali o gli errori compiuti inconsapevolmente dalle persone siano arginabili tempestivamente. La sicurezza nella Cloud collaboration, da questo punto di vista, coincide con la possibilità stessa di poter continuare a collaborare senza che un’interruzione dei sistemi impedisca la normale attività di scambio tra colleghi o tra dipendenti e clientela. La scelta del fornitore deve tenere conto, perciò, anche di questo elemento oggettivo che attesta la qualità infrastrutturale sottostante al Cloud offerto.
Articolo di Paolo Bergamini per Avaya