La security by design per gestire l’azienda in cloud

Lo si è detto e scritto ormai tante volte: l’esperienza della pandemia Covid-19 ha cambiato il mondo in cui viviamo. Ha stravolto vite, ma anche il nostro modo di lavorare. Come ogni crisi, però, è stata anche un’occasione per scardinare i modelli organizzativi tradizionali, provando ad accelerare sulla strada dell’innovazione. Il lockdown e il lavoro ‘costretto’ a smaterializzarsi all’improvviso hanno imposto cambiamenti – si potrebbe anche dire evoluzioni – che hanno avuto un importante impatto in ambito tecnologico. I player di mercato come Check Point Software, azienda specializzata in sicurezza informatica, se ne sono accorti da tempo.

“L’emergenza ha dato una forte accelerazione all’innovazione, perché il Remote working ha imposto una gestione più flessibile e scalabile delle infrastrutture IT”, spiega Massimiliano Bossi, Channel & Territory Sales Manager di Check Point Software Italia, confermando come ormai sia stata superata la tradizionale diffidenza nei confronti delle soluzioni in cloud. Non siamo ancora in una nuova stagione del cloud, ma la svolta non pare essere lontana. Infatti, se per le infrastrutture – come argomenta il manager – sono ancora meno del 50% le aziende che si affidano al cloud, diverso è il caso per le applicazioni più comuni, come la posta elettronica o altre applicazioni di uso quotidiano in ufficio.

“Al momento siamo fermi alla fase della gestione degli investimenti pregressi che presto saranno assorbiti e lasceranno spazio a nuovi progetti”, evidenzia Bossi. E a quel punto si assisterà a un maggior orientamento verso le soluzioni in cloud, che supereranno, per preferenze, quelle on premise. Le società di ricerca, infatti, prevedono che nell’arco di cinque anni, quasi il 60% delle organizzazioni – a prescindere dalla dimensione aziendale – avrà scelto il cloud, sicuramente per i servizi di ‘base’, ma anche per i servizi più complessi (in questo caso l’orientamento è più delle grandi imprese, perché servirà un profondo impegno nell’impostare il cambiamento).

Il passaggio al cloud è un percorso progressivo”, sottolinea Marco Coppolino, Founder e CTO di Consys.it, società di consulenza specializzata da oltre 25 anni in sicurezza informatica. “Già l’utilizzo di servizi per la comunicazione e la condivisione di documenti aziendali si è rivelata un’importante leva per il cambiamento, perché dimostra come sia possibile utilizzare una soluzione da ogni luogo senza dover sostenere gli oneri di gestione. È un primo passo verso la comprensione più profonda delle potenzialità del cloud”. Questo, però, si può già considerare come il recente passato; al momento, secondo il manager, le organizzazioni sono già nella fase di migrazione parziale, o a volte anche totale, dei datacenter da locali (on premise) a cloud.

Gestire le complessità del cloud

Contrariamente a quanto si è lungamente – a torto – pensato, tuttavia, “cloud” non è sinonimo di minore spesa (per esempio affidarsi all’ambiente multi-cloud vuol dire avere maggiori costi, a meno di non essere dotati di una struttura interna in grado di analizzare e comparare servizi e investimenti richiesti) né si tratta di un tema esclusivamente riservato alle Piccole e medie imprese. Anzi, il cloud porta con sé nuove e particolari complessità che, spiega il manager di Check Point Software, “non possono essere gestite con le stesse logiche applicate alle infrastrutture on premise”.

Quali sono le complessità? Quella principale è di certo legata alla sicurezza. Bossi rimarca: “È facile gestire e aprire servizi in cloud, affidandosi pure a player differenti; più complicato è mantenere il controllo dei dati, garantire la compliance e la sicurezza in uno scenario di multi-cloud”. Un aspetto che è tornato all’ordine del giorno proprio nella fase acuta della pandemia, con la realizzazione dell’azienda diffusa che ha visto lo sgretolarsi dei perimetri dell’organizzazione, facendo scoprire alle imprese una nuova vulnerabilità (e i dati aggiornati sugli attacchi informatici confermano il pericolo). La soluzione è “un approccio cosciente della complessità”.

I player di servizi in cloud – Google, Amazon e Microsoft detengono la quasi totalità del mercato insieme con Alibaba in Cina – applicano quella che gli esperti definiscono share of responsibility, cioè il fornitore di cloud offre lo spazio, ma la responsabilità del contenuto è del fruitore del servizio, compresa la gestione della complessità che non può essere scaricata sul player. Per affrontare queste problematiche è utile introdurre in azienda competenze per progettare e gestire infrastrutture e soluzioni cloud native, che consentano di affrontare la sicurezza con l’approccio della ‘security by design’, ossia la strutturazione dei servizi in grado di soddisfare le nuove necessità della cybersecurity

Questo è lo scenario che, chi è del settore vede come la meta finale di quel percorso a step di cui si è parlato in precedenza. “Il passaggio completo al cloud significa poterne sfruttare tutto il potenziale, partendo dalla riscrittura delle applicazione nella logica di App cloud native”, dice Coppolino. Per il Founder di Consys.it “per arrivare alla nuova stagione del cloud ci vorrà ancora un po’ di tempo e non è possibile aspettarsi un cambiamento rapido, soprattutto perché attualmente le applicazioni Legacy girano su software di vecchia generazione. Eppure, è un passaggio inesorabile. Certo, il cambio generazionale agevolerà questo cambiamento e sarà più facile introdurre in azienda le nuove competenze richieste.”

Competenze interne e soluzioni ad hoc di vendor e società di consulenza

Al di là dello sviluppo costante del know how interno, è certamente importante per le aziende affidarsi alle competenze di vendor e system integrator specializzati in sicurezza, in grado di agevolare la gestione del cambio di paradigma. “In passato c’era un solo protocollo su cui agire perché c’era un’unica infrastruttura, oggi lo scenario è molto più complesso e variegato anche per chi fornisce il servizio e dunque servono esperti formati ad hoc”, osserva Coppolino. “Per questi specifici aspetti, che rappresentano il core business della nostra proposta di consulenza, formiano le nostre persone internamente. Basti pensare che su 15 tecnici, circa la metà si stanno certificando sui principali cloud provider, così come altri tre, sugli otto totali, dell’area help desk”, spiega il manager di Consys.it.

“Inoltre, in Consys.it, per prepararci a questa nuova fase, stiamo inserendo in azienda giovani che conoscono già l’ambiente DevOps – con spiccata esperienza tra ‘development’ (sviluppo) e ‘operation’ (messa in produzione) – che rappresenta il nuovo modo di sviluppare le applicazioni. E da qui nasce il concetto di ‘DevSecOps’, che a quanto già anticipato aggiunge la componente importante della sicurezza”, conclude Coppolino.

Diverso è il ruolo del vendor, che diventa centrale in uno scenario in cui le aziende si affidano al multi-cloud e a soluzioni trasversali. “Nel nostro caso offriamo gli strumenti che siano abilitatori dell’adozione del cloud. Per questo offriamo strumenti e tool che vanno nella direzione di dare la visibilità di tutti gli asset e della loro modalità di utilizzo (inventoring)”, dice Bossi. “Significa introdurre anche una componente di automazione, da tenere in considerazione sin dalla fase di progettazione.”

La fase di lockdown, introdotta per far fronte alla pandemia, si diceva, ha accelerato il trend – già presente prima del Covid – di richieste di infrastrutture sempre più performanti. La differenza oggi si gioca proprio sulla sicurezza: “Adesso che ci si è resi conto che è possibile lavorare da remoto, serve mettere al sicuro tutti i processi”, dice Coppolino. Gli fa eco Bossi, che sottolinea come “abbiamo appena assistito a una corsa alla connettività da remoto, generando un fenomeno nuovo: più che dedicarsi all’esecuzione, le aziende si stanno concentrando sullo studio della tecnologia. E questo aspetto è confermato dal susseguirsi di richieste di informazioni, utili per la pianificazione degli investimenti nel 2021”.

In ottica di soddisfare le nuove richieste delle imprese, Consys.it si sta concentrando sulla protezione degli applicativi in cloud, come il controllo degli accessi: da quelli di posta elettronica a quelli più complessi. A questa si affianca l’attività di Cloud Security Posture management, per gestire gli ambienti cloud con una maggiore consapevolezza sulla sicurezza e sui potenziali pericoli derivati da configurazioni errate.

security by design, Consys.it, DevOps, DevSecOps, Check Point Software


Avatar

Dario Colombo

Articolo a cura di

Giornalista professionista e specialista della comunicazione, da novembre 2015 Dario Colombo è Caporedattore della casa editrice ESTE ed è responsabile dei contenuti delle testate giornalistiche del gruppo. Da luglio 2020 è Direttore Responsabile di Parole di Management, quotidiano di cultura d'impresa. Ha maturato importanti esperienze in diversi ambiti, legati in particolare ai temi della digitalizzazione, welfare aziendale e benessere organizzativo. Su questi temi ha all’attivo la moderazione di numerosi eventi – tavole rotonde e convegni – nei quali ha gestito la partecipazione di accademici, manager d’azienda e player di mercato. Ha iniziato a lavorare come giornalista durante gli ultimi anni di università presso un service editoriale che a tutt’oggi considera la sua ‘palestra giornalistica’. Dopo il praticantato giornalistico svolto nei quotidiani di Rcs, è stato redattore centrale presso il quotidiano online Lettera43.it. Tra le esperienze più recenti, ha lavorato nell’Ufficio stampa delle Ferrovie dello Stato italiane, collaborando per la rivista Le Frecce. È laureato in Scienze Sociali e Scienze della Comunicazione con Master in Marketing e Comunicazione digitale e dal 2011 è Giornalista professionista.

Dario Colombo


L'approccio sistemico per proteggere l'OT: rivivi il webinar

L’approccio sistemico per proteggere l’OT: rivivi il webinar

/
L’aumento dei cyberattacchi in Italia – secondo il Clusit sono ...
Sicurezza sul lavoro, dalle parole ai fatti

Sicurezza sul lavoro, dalle parole ai fatti

/
Se è vero che il lavoro nobilita l’uomo, non è ...
assicurazione cyber

Assicurazioni e tecnologia per garantire la sicurezza informatica

/
La dispersione dei dispositivi informatici, quindi la moltiplicazione dei punti ...

Via Cagliero, 23 - 20125 Milano
TEL: 02 91 43 44 00 - FAX: 02 91 43 44 24
EMAIL: redazione.pdm@este.it - P.I. 00729910158

© ESTE Srl - Via Cagliero, 23 - 20125 Milano