Cos’è il modello di responsabilità condivisa e perché dovrebbe interessarti?

L’ultimo decennio ha registrato una crescita esplosiva dei servizi cloud, passando da un mercato di 24,65 miliardi di dollari nel 2010 a 150 miliardi di dollari stimati entro la fine del 2020. La crescita è stata principalmente alimentata da organizzazioni che spostano i carichi di lavoro del loro core business verso fornitori di servizi cloud come Salesforce, Microsoft e AWS, solo per citarne alcuni.

I principali vantaggi per i clienti includono (ma non si limitano a) modelli di consumo flessibili, maggiore produttività, time-to-value, innovazione e l’ovvia riduzione degli investimenti nelle spese in conto capitale – non dovendo investire anticipatamente in server, software ecc. Il “cloud” è rimasto la destinazione preferita delle organizzazioni che desiderano trasformare la propria attività.

Il cloud è protetto, se fai la tua parte

È risaputo che la vera trasformazione del business non si limita ad apportare miglioramenti incrementali ai flussi di lavoro esistenti. Una vera trasformazione aziendale richiede alle organizzazioni di ripensare radicalmente il modo in cui hanno a che fare con i clienti e con i loro partner esterni.

Ciò è particolarmente impegnativo in quanto anche l’ecosistema gestito da queste organizzazioni dovrà trasformarsi. Spesso include una transizione verso l’utilizzo di piattaforme cloud condivise che verranno utilizzate da clienti e partner.

Le aziende utilizzano già ampiamente i servizi cloud come Microsoft SharePoint e Dropbox per condividere contenuti all’interno della propria organizzazione. Ma fino ad ora, questi servizi sono stati principalmente utilizzati per supportare attività semplici, come la condivisione di singoli file.

Mentre le organizzazioni continuano a maturare – e la loro comprensione del cloud continua ad evolversi – molti leader aziendali stanno cercando di spostare interi carichi di lavoro nel cloud. Così, lasciano rimanere poche o nessuna risorsa in un ambiente locale o nei data center gestiti internamente dalla società.

La differenza principale oggi, tuttavia, è che questi carichi di lavoro ora supportano l’inclusione di clienti e partner esterni. Sebbene ciò sia positivo per la produttività, ha anche lo sfortunato risultato di aprire un vaso di Pandora virtuale contenente rischi per la sicurezza informatica per tutte le parti coinvolte.

Tuttavia, questi rischi possono essere gestiti se le organizzazioni sono consapevoli di come sono condivise le responsabilità di sicurezza sui servizi cloud.

Presentazione del modello di responsabilità condivisa: la chiave per assicurarti di essere protetto e senza problemi

Ai vecchi tempi, quando le organizzazioni gestivano i propri sistemi informatici, i decision maker aziendali non dovevano occuparsi di argomenti relativi alla sicurezza informatica. Il dipartimento IT aveva la responsabilità operativa di assicurarsi di soddisfare i requisiti di sicurezza richiesti dal loro Chief Information Security Officer (CISO). Alla fine, l’asticella veniva impostata dal CISO e poteva essere alzata o abbassata come lui o lei desiderava.

Con l’introduzione dei servizi cloud durante il primo decennio degli anni 2000, questo non è stato considerato un grosso problema. Ad eccezione di Salesforce, che fornisce carichi di lavoro di vendita end-to-end su un servizio cloud, molti fornitori di servizi cloud hanno offerto solo servizi molto specifici come backup, condivisione di file, chiamate in conferenza, servizi di riunione, ecc.

Ma i fornitori di servizi cloud erano chiari sulla divisione delle responsabilità relative alla sicurezza. L’industria aveva coniato un paradigma di sicurezza chiamato “Responsabilità condivisa” che delineava i ruoli e le responsabilità quando operava sul cloud.

Il cloud provider era (ed è tuttora) responsabile della sicurezza della piattaforma, inclusi elementi quali:

• Selezione e verifica dei fornitori di tecnologia per data center
• Garantire la sicurezza fisica dei data center stessi
• Crittografia dei dati trasferiti tra i vari data center, ad es. durante la replica di dati
• Garantire la sicurezza delle applicazioni native fornite dal cloud provider.

Tuttavia, il cliente è sempre stato ed è ancora responsabile di garantire l’integrità e la sicurezza dei contenuti che risiedono sulla piattaforma.

Con carichi di lavoro più pesanti che vengono spostati nel cloud, molte organizzazioni tradizionali devono ora affrontare un dilemma. Da un lato, apprezzano i potenziali vantaggi dell’utilizzo dei servizi cloud, ma sono anche profondamente consapevoli del fatto che le loro tradizionali capacità di sicurezza non sono in grado di proteggere i contenuti che sono stati creati, caricati e condivisi con altre organizzazioni su quella stessa piattaforma. Eppure, in qualche modo, devono garantire che i contenuti sulla loro piattaforma non possano essere utilizzati per eseguire attacchi.

Adottare l’approccio incentrato sul cloud

È qui che entra in gioco F-Secure Cloud Protection per Salesforce. Adottando un approccio incentrato sul cloud a questa sfida, le organizzazioni possono innovare e ampliare i confini su come utilizzare i vantaggi delle piattaforme cloud condivise. Invece di scansionare i contenuti alla ricerca di malware sul laptop di un individuo, F-Secure Cloud Protection per Salesforce esegue la scansione dei contenuti ogni volta che vengono caricati o scaricati. I contenuti che risiedono già sulla piattaforma cloud possono anche essere scansionati in conformità con i requisiti dell’organizzazione (ad esempio giornalmente).

I vantaggi che ciò comporta per un cliente di un servizio cloud sono immensi.

In primo luogo, poiché la scansione è in corso sul cloud (anziché su un laptop), non è necessario eseguire installazioni di software sui computer delle persone. Ciò significa che chiunque accederà o condividerà contenuti sul servizio cloud sarà protetto fin dall’inizio, anche se sta lavorando per diverse organizzazioni. A ogni utente viene condivisa una quota uguale di sicurezza.

In secondo luogo, l’approccio incentrato sul cloud consente alle organizzazioni di ripensare drasticamente con chi collaborano e in che modo collaborano con tali soggetti sul cloud. Le funzionalità di protezione del cloud di F-Secure consentono una moltitudine di casi d’uso, liberando efficacemente il business dagli antichi confini stabiliti dalla sicurezza IT. Si può affermare che la sicurezza è finalmente diventata un abilitatore di business come ha sempre sostenuto di essere.

Infine, implementando F-Secure Cloud Protection per Salesforce, le organizzazioni hanno la possibilità di garantire la conformità ai severi requisiti per es. del Regolamento generale sulla protezione dei dati (GDPR) e del California Consumer Privacy Act (CCPA).

Queste leggi impongono alle organizzazioni di implementare la protezione dei dati e la privacy by design, il che significa che l’organizzazione (che fornisce un servizio a un consumatore) è responsabile di garantire i diritti indicati nella legislazione.

E poiché il fornitore di servizi cloud agisce solo come elaboratore di dati, la responsabilità di conformarsi alle leggi prevalenti in materia di dati e privacy spetta fermamente all’azienda che utilizza la piattaforma per fornire servizi rivolti ai clienti.

In sintesi, il cloud offre alle organizzazioni una vasta gamma di vantaggi tra cui (ma non solo) la sicurezza. Ma la sicurezza è una responsabilità condivisa e le organizzazioni che non rispettano le proprie responsabilità espongono se stesse, i propri clienti e partner a rischi inimmaginabili.