Quando le organizzazioni adottano la tecnologia cloud o intraprendono altre iniziative di trasformazione digitale, riconoscono sicuramente l'importanza della governance e della sicurezza. Tuttavia, spesso trattano questi due pilastri aziendali come entità separate. Di solito danno priorità alla governance poiché strettamente legata alla loro identità organizzativa. La governance stabilisce le norme e i regolamenti che definiscono i parametri operativi entro i quali l'azienda opera.
Purtroppo, quando la sicurezza viene presa in considerazione in un secondo momento, senza tenere conto dell'identità organizzativa, le aziende spesso faticano ad allineare i requisiti di sicurezza con le proprie regole di governance. L'obiettivo è quello di proteggere i propri sistemi IT e prevenire gli accessi non autorizzati senza compromettere la propria identità. Tuttavia, quando la sicurezza viene implementata senza considerare la governance, il risultato può essere una fortezza impenetrabile simile a Fort Knox. Sebbene la sicurezza possa essere elevata, non si allinea con la governance e ostacola l'efficienza operativa.
Non tutte le organizzazioni devono essere una Fort Knox. La chiave è gestire in modo intelligente i requisiti di sicurezza in un modo che abbia senso per la tua azienda. Ad esempio, un ospedale che gestisce le cartelle cliniche dei pazienti ha regole di governance e requisiti di sicurezza diversi da quelli di una società di autonoleggio. Pertanto, è essenziale condurre un'analisi approfondita della situazione specifica dell'organizzazione, delle esigenze aziendali e dei requisiti IT. L'analisi dovrebbe servire da base per un approccio integrato alla definizione di governance e sicurezza, tenendo conto dei rischi e dei benefici associati.
Dal punto di vista della governance, si presentano diverse sfide degne di nota, soprattutto in relazione all'adozione della tecnologia cloud:
Le organizzazioni hanno tutto l'interesse a proteggere i propri dati sensibili. Sono anche preoccupate per la conformità a normative quali il General Data Protection Regulation (GDPR) e l'Health Insurance Portability and Accountability Act (HIPAA). Queste normative impongono alle aziende di implementare diverse misure di sicurezza per prevenire accessi non autorizzati e affrontare le fughe di dati. Tuttavia, non tutte le normative sono ugualmente rilevanti per ogni azienda. Non esiste un approccio unico alla sicurezza.
Ogni settore ha le proprie sfide in termini di conformità e regolamentazione. Ad esempio, il settore bancario opera in base a regole diverse rispetto al settore sanitario, questo richiede soluzioni specifiche. Ogni azienda deve verificare quali sono le normative rilevanti per il proprio settore.
Le organizzazioni che adottano strategie cloud possono facilmente sforare il loro budget a causa del modello pay-per-use. Di conseguenza, il controllo e l'ottimizzazione dei costi diventano un problema importante. È indispensabile considerare per cosa verrà utilizzato cloud e sfruttare le risorse nel modo più efficiente possibile.
In fase di scelta di un fornitore cloud, le aziende temono, giustamente, che possa essere difficile migrare le applicazioni a un altro fornitore in un secondo momento. Non vogliono rimanere bloccate nell'ecosistema chiuso di un singolo fornitore. La soluzione sta nell'optare per un approccio cloud-agnostico quando possibile.
Le risorse cloud sono spesso fornite su richiesta, il che ne comporta un utilizzo inefficiente. Una sfida ancora maggiore si presenta quando queste risorse sono configurate individualmente. Ciò porta a una deriva della configurazione che è difficile da gestire e può dare origine a vulnerabilità di sicurezza.
Una buona governance integra sempre buone pratiche di sicurezza. Come può un'azienda realizzare pienamente questa integrazione?
L'implementazione di un solido sistema di Identity and Access Management (IAM) è il passo più importante. Un sistema IAM garantisce il controllo dell'accesso alle risorse e definisce le azioni che gli utenti possono eseguire, fornendo così un livello di sicurezza cruciale per l'infrastruttura IT. Definire i permessi di accesso per gli utenti, in linea con la governance dell'organizzazione, è un modo efficace per integrare governance e sicurezza attraverso l'IAM.
Le aziende hanno bisogno di politiche ben definite per quanto riguarda la crittografia e le misure di sicurezza per proteggere i loro dati, in conformità con le loro regole di governance. Tuttavia, una crittografia efficace deve essere accompagnata da processi adeguatamente progettati per prevenire accessi non autorizzati e configurazioni errate.
La visibilità dell'ambiente IT di un'organizzazione è fondamentale per dare priorità alle misure di sicurezza. Pertanto, investire nei giusti strumenti di monitoraggio è una considerazione primaria. Per sfruttare appieno questi strumenti, però, è necessario stabilire una politica e una linea comune per determinare lo stato di normalità e identificare le deviazioni da esso.
Se uno strumento di monitoraggio rileva un'anomalia che indica una minaccia per la sicurezza, devi anche essere in grado di mitigare tempestivamente la minaccia e prevenire i danni. Per raggiungere questo obiettivo in modo efficiente, è importante stabilire processi di classificazione dei dati. Ciò consente di analizzare rapidamente l'impatto di una minaccia e facilita il processo decisionale relativo alle azioni necessarie per limitare i danni.
In Cegeka crediamo fermamente nell'approccio alla governance e alla sicurezza come aspetti interconnessi. Forniamo soluzioni end-to-end per affrontare le sfide utilizzando la tecnologia Microsoft, che comprende IAM, monitoraggio continuo e un Security Operations Center (SOC) per una risposta efficace agli incidenti. Inoltre, applichiamo le best practice per la sicurezza del cloud e ci concentriamo e sulla formazione dei nostri dipendenti e dei nostri clienti, in modo da poterli supportare nelle loro sfide.
Nel prossimo articolo approfondiremo il nostro approccio e le soluzioni Microsoft che utilizziamo per integrare perfettamente governance e sicurezza.