Con il dato non si scherza
Proteggere gli ambienti informatici non significa solo arginare gli attacchi e risolvere le vulnerabilità ma anche tutelarsi nel caso di sottrazione di dati. Thales Cloud Protection & Licensing, parte di Thales Group, con le sue piattaforme di encryption, affronta il tema integrandosi con i servizi cloud.
Il tema della cybersecurity è diventato per le aziende una priorità con la sempre maggiore diffusione dei sistemi informativi e le minacce che via via nel tempo si sono fatte più sofisticate per colpirli e causare malfunzionamenti od ottenere dati preziosi. Dati che se un tempo risedevano direttamente presso le aziende e quindi nei data center di proprietà, con l’avvento del cloud computing sono stati spostati presso i relativi provider. E la cui protezione è al centro della strategia di una delle linee di business della francese Thales Group. “Di fatto ci occupiamo di due aree: autenticazione ed enrcyption, quindi verifica delle identità degli utenti prima che questi accedano ai dati e protezione di questi ultimi”, spiega Luca Calindri, Country Sales Manager Italy & Malta – Data Protection di Thales Group, il tutto con riferimento a uno scenario che è via via evoluto da progetti di protezione tradizionali on premise, al superamento del cosiddetto perimetro, e a scenari ibridi dove coesistono i data center e il cloud, quest’ultimo consumato soprattutto secondo modalità multi cloud, affidandosi a più fornitori.
“Report da noi realizzati ci dicono che innanzitutto il fenomeno dei data breach è in costante crescita, con il 28% delle realtà europee che hanno dichiarato di averne subite negli ultimi 12 mesi mentre il 48% in generale nel corso della propria attività. Inoltre, il 24% ha avuto difficoltà a superare le verifiche di compliance negli ultimi 12 mesi, verifiche che possono essere non solo legate a quanto previsto dal regolamento europeo Gdpr (general data protection regulation) ma anche a norme di sicurezza associate a settori specifici come accade ad esempio in ambito di monetica e pagamenti elettronici”, prosegue Calindri individuando le cause di una mancata compliance nella difficoltà di mettere in campo tecnologie che ne abilitino il rispetto in modo semplice e meno costoso, e quindi con un time to market superiore.
“Fronte cloud – afferma Calindri – ecco che notiamo come quasi la metà delle organizzazioni facciano risiedere nel cloud i propri dati che, nel 43% dei casi, sono categorizzati come sensibili. Insomma, possiamo dire che circa un quarto dei dati delle aziende è nella ‘nuvola’ ed è sensibile, per cui non c’è dubbio che esista una nuova esigenza a livello di data protection, una sfida per i nostri clienti ma anche per noi che dobbiamo far evolvere il nostro portafoglio di soluzioni perché ci sia coerenza tra sfide sentite e risposte in campo. Ancor più guardando al fatto che il 100% delle organizzazioni ci hanno detto che almeno alcuni dati sensibili nel cloud non sono protetti da crittografia e solo il 54% di tutti i dati sensibili nel cloud lo è”.
Uno scenario variegato
La strategia di Thales Group per quanto riguarda la sicurezza tiene quindi in grande considerazione lo scenario di riferimento raccolto presso le realtà aziendali. Uno scenario che per quanto riguarda il cloud è estremamente dettagliato. Si parte dal PaaS, in cui buona parte (secondo i dati raccolti, circa l’80%) delle organizzazioni si serve di almeno due fornitori, una quota che cresce in ambito Saas dove l’86% usa almeno 11 provider diversi e infine, in quota IaaS, l’80% degli intervistati si serve di due o più provider. “Ecco che per noi la sfida sta nel porci sul mercato come abilitatori di cloud security pur rimanendo agnostici, indipendenti e neutrali rispetto alle piattaforme sul mercato, rendendo la crittografia gestita dal cliente interoperabile con gli schemi di funzionamento delle piattaforme in cloud”, approfondisce Calindri entrando nel dettaglio di un processo che spesso passa attraverso la condivisone di Api definite e rilasciate dai cloud provider, sulle quali Thales Group costruisce appunto uno schema di interoperabilità con la propria soluzione di key manangement.
“Di fatto se parliamo di problematiche che emergono quando si analizzano gli scenari multi cloud , si nota un proliferare di repository di dati diversi e la mancanza di uno strumento deputato a standardizzare e centralizzare la governance di data protection e cloud security. Il rischio di fatto è quello della frammentazione e della governabilità di dati che si trovano presso strutture terze. Qui le raccomandazioni che diamo si inquadrano tipicamente in più fasi da soddisfare. La prima è quella della presa di coscienza del problema e della definizione del luogo dove si trovano i dati e di questi definire quelli sensibili o confidenziali che meritano una maggiore attenzione rispetto ad altri. Ne deriva il tema della protezione dei dati attraverso la encryption che deve però essere accompagnata da una gestione robusta delle chiavi crittografiche. Altrimenti è come investire in una porta blindata lasciando le chiavi sotto lo zerbino. Ultimo step, infine, vigilare sempre sul controllo degli accessi e quindi sapere in ultima istanza chi accede a quali dati e se ne ha effettivamente diritto”, precisa Calindri.
Questione di chiavi
L’orizzonte di Thales Group però non si ferma qui, in un contesto in cui vede come particolarmente importante considerare le differenze tra mondo on premise e mondo cloud. “Il cloud offre senz’altro un enorme vantaggio in termini di flessibilità ed efficienza ma riduce, sul fronte sicurezza, il raggio d’azione del cliente che non ha la possibilità di aggiungere un eventuale nuovo strato di sicurezza alla bisogna ma deve affidarsi in toto al provider. Possiamo dire che i servizi as-a-service hanno modelli di protezione diversi e ridotti rispetto all’on premise. Se in ambito IaaS il cliente può mantenere il suo schema di crittografia – in termini tecnici si parla di ‘bring your own encryption’ – non rinunciando al controllo, questo non risulta possibile in modelli di erogazione più evoluti come PaaS o SaaS dove il raggio d’azione è più limitato. Per questo oggi si sta lavorando su schemi che permettano al cliente di generare la chiave affidando la gestione della criptatura al cloud provider (bring your own key). Per chi si occupa di compliance, però, anche questa opzione non è sufficiente ed accettabile. Occorre, quindi, compiere un ulteriore passaggio evolutivo e fare in modo che la chiave crittografica rimanga in possesso del cliente, instaurando solamente una forma di comunicazione tramite API (hold your own key). Una tematica che emerge costantemente nel confronto quotidiano con i nostri clienti”, sottolinea Calindri.
Qui Thales Group entra in gioco con una piattaforma che include strumenti e moduli opzionali studiati per affrontare la tematica della encryption secondo diversi approcci e sposandosi con logiche di sottosistemi e iperconvergenza, con key management e data encryption come focus della sua offerta. “Di fatto siamo partiti da una piattaforma nata per risolvere queste problematiche in ambito on premise facendola evolvere verso le esigenze del multi cloud, lavorando direttamente con alcuni provider di servizi come ad esempio Salesforce.com che già consente ai suoi utenti di custodire direttamente in casa la chiave generata e poi, tramite una connessione opportuna, far partire la procedura di encryption sull’infrastruttura cloud, senza spostare la chiave stessa. Il tutto tramite una connessione Api costante. Si tratta di una collaborazione che permette di diffondere i suoi servizi e superare le reticenze da parte di quelle organizzazioni che richiedono elevati standard di sicurezza”, commenta Calindri.
Tecnicamente l’idea è poi di arrivare ad una separazione sostanziale a livello fisico e di ruoli tra dati cifrati e chiavi cifranti, per cui nel momento in cui questi vengono affidati al cloud provider si crea un’altra entità che gestisce le chiavi, che può essere lo stesso cliente così come società terza rispetto al cloud provider. “Possiamo fare diversi esempi anche italiani. Abbiamo collaborato con una società che offre servizi applicativi specializzati in risorse umane, che riceve dai clienti una grande quantità di dati sensibili che rientrano in quanto previsto dal Gdpr. La nostra suite di data protection è stata per loro uno strumento di differenziazione competitiva nell’offerta di ulteriori garanzie sulla protezione del dato. E lo stesso è accaduto per una seconda realtà, attiva nel business process outsourcing a favore di istituti finanziari e assicurativi”, rivela Calindri.
Più sicuri in caso di violazione
Se dunque è il tema della data protection al centro della proposta di Thales Group per la cybersecurity – che prevede anche soluzioni e servizi di strong authentication e relativa gestione – questo viene enfatizzato ancor più laddove le aziende di ogni dimensione stanno intraprendendo il percorso di ulteriore informatizzazione se non di vera e propria trasformazione digitale. “In definitiva oggi, mentre il perimetro non esiste più, noi ci occupiamo di proteggere il dato in tutte le sue diverse dimensioni: sia quando è presente, utilizzato e consultato sui sistemi aziendali sia se viene sottratto e rubato, per evitarne in entrambi i casi un uso improprio o addirittura malevolo capace di danneggiare un’organizzazione nel suo complesso. Da questo punto di vista il dibattito interno alle organizzazioni non riguarda solamente i responsabili della sicurezza ma anche altri dipartimenti come possono essere quelli di ufficio compliance ma anche marketing, considerati i danni di immagine che un brand concretamente può subire, e più in generale quelli economici”, conclude Calindri.
