Cloud sicurezza e privacy il punto della situazione:
Affrontiamo un argomento molto critico, a volte non accettato o non ben compreso dal Cliente.
Crediamo fermamente che ci si debba tutelare maggiormente e difendere qualsiasi tipo di informazione personale digitale, d’altra parte per le Aziende deve essere considerato come parte integrante del patrimiono.
Allo stesso modo in cui proteggiamo un bene fisico dobbiamo imparare a proteggere le informazioni digitali anche se non tangibili esistono. A volte una informazione sottratta può determinare: costi, perdita di credibilità o avviare contenzioni, e brutto da dire, senza che ce ne accorgiamo.
Opinioni differenti a confronto:
- C’è chi sostiene che il miglior modo sia quello di gestire tutto “in casa”, credendo di ottenere il massimo in termini di sicurezza;
- C’è chi è riluttante a spostare i propri dati nel Cloud perché il Cloud è un ambiente nativamente insicuro e così via, in parte e solo in parte con ragione.
- Esistono poi Aziende che migrano verso soluzioni Cloud “discutibili”, che non offrono alcuna garanzia e tutela, non attuano policies di sicurezza e spesso nemmeno dichiarano le proprie metodologie di gestione in modo esplicito, volutamente o meno non lo discutiamo.
Alcuni operatori non dichiarano nemmeno il luogo del DataCenter o impongono condizioni assurde che consentono al gestore di migrare a proprio piacimento i dati da un DataCenter all’altro, senza nemmeno informare il Cliente.
Rischi e precauzioni:
A partire da queste semplici premesse vogliamo affrontare in una breve guida ai rischi ed alle precauzioni attuabili per una corretta gestione dei prori dati nel Cloud.
Partiamo dal presupposto che tutte le nostre informazioni devono essere considerate sensibili, anche quelle che ad una prima occhiata ci appaiono insignificanti, per qualcuno potrebbero essere fonte di notizie, indagini statistiche, analisi comportamentali o comunque utili per effettuare la nostra profilazione.
Chiaramente la situazione si aggrava se le informazioni sono di carattere confidenziale, riservato o personale.
Violazioni note dei dati:
Di tanto in tanto siamo raggiunti da notizie di hackeraggio, peraltro ben mascherate, relative a sottrazioni di password, violazioni di account ed altro ancora… Ciò è gravissimo, non solo perchè sono stati sottratti dati sensibili, ma e soprattutto perchè in tali casi il sistema era ed è vulnerabile!.
Purtroppo dimentichiamo velocemente, oppure pensiamo “tanto questa volta non è capitato a me!” Ma non possiamo sempre confidare nella buona sorte.
Violazioni non note dei dati:
Vogliamo ricordare che le azioni più subdole (che quotidianamente si compiono) sono quelle di sottrarre informazioni senza che nessuno se ne accorga, oppure ci si accorge ma dopo troppo tempo, quando ormai il danno è compiuto. Questa pratica è usata per la violazione di segreti industriali, sottrazione di informazioni confidenziali o altro e gli effetti di queste azioni saranno visibili nel tempo con danni economici elevatissimi.
Consideriamo altrettanto grave lo sfruttamento tramite complessi algoritmi informatici, l’utilizzo dei nostri dati per fini statistici, marketing e di profilazione. Tali azioni secondo il nostro parere sono subdole e anche se illegali e condannate da diverse sentenze, purtroppo restano di uso diffuso, troppo diffuso!
La credibilità del Cloud:
Tutti questi eventi a nostro parere, incidono negativamente sulla credibilità del Cloud, ma bastano pochi e semplici accorgimenti (anche se non di semplice intuizione) per tutelarsi e proteggersi dalle insidie.
Noi crediamo che la scelta di spostare i propri servizi verso il Cloud debba essere ponderata e attentamente valutata, la scelta del fornitore, le garanzie offerte, le infrastrutture utilizzate, i criteri minimi di sicurezza impiegati, le certificazioni ed i processi interni dovrebbero essere attentamente analizzati e valutati.
Garanzie minime di sicurezza:
Una delle condizioni basilari che ogni Cliente dovrebbe pretendere da parte del fornitore di servizio è una dichiarazione stilata “nero su bianco” relativa oltre alle proprie politiche di gestione, alla certificazione dei processi e via dicendo soprattutto alla dichiarazione che non effettuerà mai alcun accesso ai dati – nemmeno per scopi statistici o di controllo preventivo – e non fornirà mai la possibilità a nessuno di accedervi. Nessuna di tali azioni può essere motivata dal pretesto di migliorare o mantenere l’operatività dell’infrastruttura.
A breve approfondiremo questi argomenti, con la pubblicazione di dati e note informative, se desiderate comunque ricevere il materiale informativo, inviate una email a marketing[at]eaglenetworks.it, saremo lieti di inviarvi la documentazione.
Se non siete ancora iscritti al nostro blog, potete farlo semplicemente immettendo la vostra email, riceverete notifiche e informazioni suli nuovi articoli pubblicati.