Non tutti i Cloud vengono per nuocere: sicurezza e Gdpr

La migrazione delle aziende verso il cloud è in corso da anni ma, ormai, non dobbiamo più pensare al “se passare al cloud” ma a “quando e come passare al Cloud“. 

Partendo da questo presupposto, abbiamo fatto una veloce indagine tra i nostri clienti e abbiamo scoperto che una delle questioni più scottanti riguardo alla migrazione verso il Cloud è quella della sicurezza (che include la privacy dei dati, la GDPR compliance, oltre alla preoccupazione di non essere fisicamente in grado di controllare dove risiedono i propri dati).

Quindi, per le aziende attente alla sicurezza, la domanda più difficile a cui rispondere è diventata “Come migrare al Cloud in sicurezza?“

Alcuni flussi di lavoro, come la messaggistica e i calendari, possono essere spostati sul Cloud senza preoccuparsi troppo della loro sicurezza, ma attività più sensibili, come quelle che si occupano di IP o dati dei clienti, meritano sempre un controllo particolarmente attento da parte dei team di sicurezza.

Herzum  (come Atlassian Platinum Partner) si sta impegnando ad aiutare un numero sempre maggiore di aziende a spostare i propri flussi di lavoro critici sul Cloud e, nel farlo, ogni giorno rispondiamo a un’ampia gamma di domande riguardo i possibili modi per rendere il processo di migrazione sicuro. 

Ecco alcune delle domande più comuni poste sulla questione sicurezza e privacy riguardo alla migrazione su Cloud dei clienti che utilizzano software della suite Atlassian:

Qual è il vostro approccio riguardo la sicurezza dei dati nella migrazione verso il Cloud?

Le aziende più attente ed esigenti hanno capito da tempo che garantire la sicurezza durante il passaggio al Cloud non è solo questione di controllare una lista di “to do”. 

Le nuove minacce alla privacy e alla sicurezza dei dati si moltiplicano, oggi molto più rapidamente che in passato e la riduzione del rischio richiede un approccio olistico alla sicurezza che trascenda un elenco di controllo. 

Per questo, le organizzazioni che spostano i propri flussi di lavoro nel Cloud dovrebbero cercare partner tecnologici con una chiara “filosofia della sicurezza” che vada oltre le certificazioni di settore.

Come posso proteggere il mio ambiente di lavoro interno?

Uno dei fattori più importanti nella costruzione di una tecnologia sicura è la salvaguardia dell’ambiente in cui è costruita. 

Se il tuo ambiente è vulnerabile prima del passaggio al Cloud, inevitabilmente rimarrà in una situazione di vulnerabilità anche dopo.

Ecco perché, prima di migrare, è sempre opportuno chiedere una valutazione di sicurezza a degli esperti sia della piattaforma Cloud che di analisi delle problematiche di privacy aziendali legate ai software che utilizzi prima della migrazione che quelli a cui stai passando sul Cloud.

I consulenti Herzum, da oltre 20 anni, si occupano di eliminare queste problematiche con un’attenta analisi della situazione pregressa e sapranno consigliare al meglio il tuo team PRIMA della migrazione effettiva, inoltre siamo in grado di sviluppare soluzioni software ad hoc per minimizzare ogni tipo di problema legato alla migrazione dei dati, alla sicurezza e alla privacy.

Come posso garantire che durante la migrazione al Cloud le operazioni quotidiane non ne risentano?

Ogni IT manager dovrebbe pensare che la sicurezza DEVE essere integrata fin dall’inizio in tutti gli aspetti dei processi operativi quotidiani e nel software utilizzato. Quando le pratiche di sicurezza vengono incorporate “postume”, è meno probabile che riescano ad essere adottate e mantenute. 

L’analista di Atlassian Trust Jodie Vlassis spiega: “Ci preoccupiamo profondamente della sicurezza dei nostri prodotti, anche perché noi, internamente, in Atlassian, ci affidiamo agli stessi prodotti. Siamo determinati a incorporare processi per pianificare le interruzioni e gestire le interruzioni in modo tale che abbiano un impatto minimo sui nostri clienti quando si verificano. “

Come posso proteggere i miei collaboratori?

Nessuno vorrebbe essere considerato l’anello debole che espone la propria organizzazione a una minaccia alla sicurezza, ma a volte ci vuole qualcosa in più, oltre alle buone intenzioni…

Quando scegli il tuo fornitore IT aziendale ricorda che, chi ti propone tecnologie, dovrebbe fornirti non solo un programma di protezione ma anche istruire i dipendenti e i collaboratori su come proteggere se stessi e i propri colleghi da minacce come phishing e frodi.

Il Trust Team di Herzum, come quello di Atlassian, ha adottato questa politica: 

“Vogliamo assicurarci che tutto il nostro personale e i nostri collaboratori sappiano come svolgere il loro lavoro in modo sicuro e abbiano il potere di agire di conseguenza. Incorporare la sicurezza dei dati e la privacy nelle logiche aziendali è una prassi che adottiamo da sempre anche mantenendo canali di comunicazione aperti tra i nostri dipendenti e il team di sicurezza attraverso tool di messaggistica istantanea come Slack, post sul blog aziendale su Confluence, FAQ, ecc. In questo modo il nostro Security Team risulta più accessibile e la collaborazione risulta spontanea”.

Come vi assicurate che le vostre applicazioni siano costruite in modo sicuro?

Questa è la prima domanda che molte aziende chiedono ai propri fornitori IT. 

Secondo noi di Herzum se un’applicazione non è sicura non dovrebbe essere disponibile per essere adottata. 

Un prodotto sicuro richiede rigorose misure di sicurezza nel ciclo di sviluppo, nonché frequenti manutenzioni e aggiornamenti per garantire la sicurezza continua man mano che matura oltre a certificare che segua le normative vigenti (ad esempio per l’Italia il GDPR). 

Come posso proteggere i dati dei miei clienti?

1. Monitora l’accesso e l’utilizzo dei tool tra i provider di servizi Cloud.
2. Gestisci l’accesso ai dati sensibili e controlla regolarmente i tuoi account e quelli dei colleghi.
3. Automatizza il provisioning e il de-provisioning degli utenti.
4. Configura il Single Sign-On con l’identity provider.
5. Istruisci il tuo team e imposta i requisiti di accesso.
6. Controlla regolarmente i registri delle tue attività.
7. Familiarizza con le offerte di sicurezza del provider di servizi cloud.

Come identificate e rispondete alle minacce alla sicurezza?

Non importa quanto siano buone e virtualmente inattaccabili le misure di sicurezza del tuo fornitore di servizi IT, c’è sempre il rischio che forze esterne testino la resistenza della tua organizzazione. 

Le aziende non possono partire dal presupposto che le loro misure di sicurezza passive saranno sempre efficaci: devono cercare in modo proattivo potenziali minacce e rispondere rapidamente per ridurre i rischi. 

I consulenti Herzum possono aiutarti anche in questo.

Herzum come può proteggere il tuo ecosistema e la tecnologia dei partner?

Negli odierni ambienti tecnologici aziendali, è raro che un’applicazione venga utilizzata da sola. 

Quasi ogni tool deve poter interfacciarsi con altri software e molte aziende preferiscono potenziare i propri strumenti con funzionalità aggiuntive dall’ecosistema del provider. 

Ciò può introdurre una complessità significativa e creare opportunità per l’insorgere di minacce se l’ecosistema di sviluppatori e partner di un fornitore non è integrato in modo sicuro.

In quest’ottica Atlassian richiede a tutti i suoi partner di applicare rigorosi standard di controllo sulla sicurezza e di applicare le best practice sia nelle consulenze che nella creazione di plug-in (come, ad esempio per Herzum Approval) e nel settaggio dei software per i propri clienti.

Come potete aiutarmi a rispettare gli obblighi di conformità (ad esempio il GDPR)?

La maggior parte delle aziende non dà la priorità alla sicurezza solo per motivi interni, ma anche perché operano in settori per i quali le normative le obbligano a soddisfare requisiti di certificazione della sicurezza dei dati. 

Ecco perché noi, come Herzum, ci avvaliamo e suggeriamo esclusivamente software GDPR compliant.