Sicurezza: ENISA dissipa la nebbia sul cloud computing

di |

Europa


Sicurezza

Come possono aziende e governi usufruire degli ovvi vantaggi del cloud computing senza mettere a rischio la propria organizzazione?

L’agenzia europea per la sicurezza delle reti e dell’informazione, ENISA (European Network and Information Security Agency), risponde a questa domanda in una nuova ed esaustiva relazione intitolata “Cloud Computing: Benefits, risks and recommendations for information security” (Cloud computing: vantaggi, rischi e consigli per la sicurezza informatica) che analizza le implicazioni tecniche, politiche e legali e, soprattutto, contiene consigli pratici su come affrontare i rischi e massimizzare i benefici per gli utenti.

 

Questo nuovo report di ENISA è la prima analisi indipendente e approfondita delle problematiche di sicurezza e privacy legate al passaggio al Cloud Computing, e pone l’accento su alcuni dei vantaggi, nonché su 35 possibili rischi. La relazione, elaborata in collaborazione con un gruppo di esperti de settore, è stata preceduta da un sondaggio volto a individuare le principali preoccupazioni dei potenziali clienti aziendeali rispetto al passaggio al cloud computing.

“Il quadro delineato dai risultati del sondaggio è chiaro” – afferma Giles Hogben, esperto di ENISA nonché redattore della relazione – “I vantaggi del cloud computing per le aziende sono evidenti: servizi IT on demand, con disponibilità quasi istantanea e senza vincoli temporal”i.

 

Tuttavia, la principale motivazione che induce molte persone a esitare è la sicurezza: è possibile affidare in piena fiducia i propri dati e, a volte, l’intera infrastruttura IT della propria azienda, ad un fornitore esterno?

 

La relazione risponde a tale domanda soprattutto tramite l’Information Assurance Framework, ossia un elenco particolareggiato dei criteri e requisiti di sicurezza rispetto ai quali valutare l’affidabilità’ e la sicurezza di un cloud provider.

“Questo è il più importante risultato del nostro report: la nostra lista di controlli non è astratta“, puntualizza Daniele Catteddu, esperto in risk management ad ENISA e co-redattore della relazione, “ma si basa su un’attenta analisi dei rischi legati a diversi scenari introdotti dal cloud computing ed è orientata in particolar modo alle esigenze dei clienti aziendali. I rischi che la nostra security check list vuole mitigare comprendono, tra gli altri, il c.d. vendor lock-in, l’inefficacia dei meccanismi di segregazione di dati e applicazioni dei clienti, nonche’ rischi legali, come ad esempio le implicazioni in materia di normativa sulla protezione dei dati”. L’obiettivo dell’Information Assurance Framework, e’ porre i potenziali clienti in condizione di formulare le  domande giuste e i provider di rispondere a tali domande una volta per tutte, piuttosto che dover continuamente ribadire la validità delle proprie procedure di sicurezza”.

Al cloud computing sono inoltre legati importanti interessi economici: ad esempio, IDC prevede a livello europeo un incremento del fatturato da servizi dai 971 milioni di euro del 2008 a 6.005 milioni di euro nel 2013.

 

Tuttavia, come evidenziato dalla relazione, il cloud computing consente nuove opzioni di sicurezza.

Il Direttore esecutivo di ENISA, Udo Helmbrecht, sottolinea: “Le economia di scala e la flessibilità del cloud computing possono garantire ai provider un di vantaggio in termini sicurezza. Ad esempio, possono attivare istantaneamente risorse difensive quali filtering e re-routingre instradamento, introdurre più efficientemente nuovi aggiornamenti, nonché sviluppare più esaustivi sistemi fi diagnostica degli incidenti”.

 

Cloud Computing: Benefits, risks and recommendations for information security