Durante l’emergenza sanitaria, il cloud ha supportato il business e accelerato i progetti di trasformazione digitale fermi al palo. Il lavoro da remoto si è imposto su scala globale, gli investimenti in tecnologia sono aumentati, favorendo la migrazione massiva verso il cloud

Adesso però occorre integrare il nuovo paradigma lavorativo nel proprio modello di business. Elevando al contempo il livello di sicurezza. Durante i mesi della pandemia il patrimonio dei primi 500 nababbi del Bloomberg Index – da Bezos (Amazon) a Musk (Tesla) – è cresciuto di 1800 miliardi. Ma per la stragrande maggioranza delle aziende l’emergenza sanitaria ha portato incertezza, perdita di clienti, attività a singhiozzo, cali di fatturato. La pandemia ha letteralmente spazzato via decine di migliaia di attività nel campo della ristorazione, del turismo, dei servizi, delle professioni. Gli ultimi dati Istat, relativi a un campione molto ampio rappresentativo di oltre un milione (1.019.786) di imprese con almeno tre addetti attive nel settore dell’industria e dei servizi condotta tra ottobre e novembre, parlano di 73mila imprese chiuse, circa il 7,2% del totale.

Le stime che arrivano dalle associazioni di imprenditori vedono nero anche nel 2021. Confcommercio parla di chiusura definitiva di oltre 390mila imprese del commercio non alimentare e dei servizi, solo in parte compensata da nuove aperture, con una contrazione del tessuto produttivo pari a oltre 300mila imprese (-11,3%), 240mila delle quali a causa della pandemia. Un bollettino di guerra che pone il Paese di fronte a grandi incertezze per il futuro. Di certo, non basterà vaccinarsi tutti per vedersi catapultati alla situazione pre-pandemia, peraltro tutt’altro che rosea. In attesa che la “distruzione creatrice” – tante volte evocata – si materializzi, c’è anche chi si è adattato in fretta alla situazione, investendo in tecnologia, adottando nuovi comportamenti e cambiando rapidamente approccio al business.

L’IT COME LEVA STRATEGICA

Tutti gli osservatori interpretano l’adozione di nuove tecnologie come il cloud come un segnale estremamente positivo e la stessa migrazione al cloud ha sbloccato una situazione stagnante in termini di ammodernamento, nello spazio di qualche mese. «Moltissime aziende avevano già intrapreso il percorso verso il cloud ma lo avevano relegato ad ambiti specifici e lontani dall’utente sia interno sia esterno, limitandosi ad alcuni applicativi non fondamentali» – rileva Vincenzo Costantino, senior director sales engineering central shared services EMEA di Commvault. «La pandemia ha accelerato l’adozione del cloud anche per applicativi usati internamente dagli utenti in modo da dare loro accesso anche in telelavoro. Un grande numero di aziende ha cambiato le proprie priorità in termini di processi, strumenti e soluzioni di data protection, data management e backup, affidandosi al SaaS, grazie all’immediata fruibilità, alla semplicità di implementazione e utilizzo da parte degli utenti remoti».

La pandemia – come osserva Salvatore Giannetto, presidente di ReeVo – ci ha lasciato in eredità la consapevolezza dell’importanza della tecnologia «come leva strategica per garantire la business continuity». In particolare, il cloud ha giocato un ruolo centrale. «CEO, CIO e CSO – sottolinea Sergio Patano, associate research director di IDC Italia – hanno compreso l’importanza avuta dal cloud computing nel ridurre l’impatto del lockdown e garantire livelli di produttività soddisfacenti». In alcuni casi, tutto è avvenuto in maniera troppo rapida e senza una adeguata preparazione. «Quando è diventato chiaro che lavorare da casa non sarebbe stata solo una situazione a breve termine, l’accesso ad applicazioni performanti è diventato urgente per garantire la business continuity» – afferma Didier Schreiber, regional marketing director, Southern Europe di Zscaler. «L’IT aziendale ha fatto pressione sul business affinché consentisse al personale di accedere alle applicazioni critiche per operare». Frastornate dagli effetti della pandemia, aziende e organizzazioni hanno acquistato in fretta servizi SaaS e PaaS. E hanno reattivamente assegnato ai propri collaboratori tablet e notebook, abilitandoli in maniera disordinata l’accesso alle risorse aziendali anche tramite dispositivi personali. Realtà pubbliche e private, quasi dall’oggi al domani, si sono trovate a dover garantire l’operatività dei propri dipendenti in contesti completamente diversi dall’ufficio.

La sicurezza, sacrificata sull’altare della continuità operativa, ben presto ha presentato il conto. Nel 2020 – secondo i dati della Polizia Postale – i cyber-attacchi (507 contro i 239 dell’anno precedente) hanno portato all’avvio di 99 indagini, all’arresto di 21 persone e alla denuncia di altre 79. «L’emergenza Covid-19, come si legge in una nota, ha costituito un’ulteriore occasione “per strutturare e dirigere attacchi ad ampio spettro, volti a sfruttare per scopi illeciti la situazione di particolare esposizione e maggior vulnerabilità in cui il Paese è risultato, e tuttora risulta, esposto”. In particolare – riferisce ancora la Polizia Postale – si è registrato un generale aumento delle minacce legate all’adozione su larga scala dei modelli di lavoro a distanza, che se da un lato hanno consentito la prosecuzione di attività essenziali, dall’altro hanno prodotto una considerevole estensione del perimetro informatico delle aziende, con una conseguente maggior esposizione ad azioni ostili esterne». L’urgenza di integrare in modo sicuro il lavoro da remoto sempre di più intriso di cloud attende aziende e organizzazioni.

SCENARI E CRITICITÀ DI FONDO

«Lo scorso anno, il cloud computing – ci dice Patano di IDC rispetto al mercato ICT in forte contrazione ha subito un’accelerazione degli investimenti generata dalla necessità di far fronte in modo rapido alla situazione pandemica». Un “risveglio”, anche se con tempi e modi differenti, che ha coinvolto tutta l’area UE. Le applicazioni di collaboration e conferencing e i software per l’identity and digital trust registrano la crescita più sostenuta con punte di quasi il 60% rispetto al 2019.

«Accanto a questi segmenti, troviamo i mercati legati al networking e allo storage, spinti dalla necessità delle aziende di rendere accessibili e sicuri i dati ai propri dipendenti». Se da un lato gli investimenti SaaS hanno registrato dinamiche sorprendenti rispetto agli anni precedenti, i grandi progetti di migrazione e innovazione digitale, salvo rare eccezioni, hanno subito forti rallentamenti se non vere e proprie battute d’arresto. Mentre tardano ad arrivare i segnali di ripresa anche lenta. Come la pandemia ha acuito le ferite già aperte nel tessuto sociale, così la corsa alla domanda di servizi cloud ha messo a nudo una serie di criticità di fondo che rischiano di indebolire o addirittura vanificare gli sforzi effettuati dalle aziende per rinnovarsi tecnologicamente. Per Fabrizio Zarri, cybersecurity master solution engineer di Oracle – «un numero crescente di aziende identifica nella propria mancanza di conoscenza del modello della responsabilità condivisa, che definisce i confini delle responsabilità tra cloud provider e cliente, una delle cause chiave dei frequenti errori di configurazione nel cloud».

Leggi anche:  La robotica nel Programma Nazionale per la Ricerca

Secondo lo studio Oracle and KPMG threat report 2020, sebbene il 75% di professionisti IT intervistati consideri il cloud pubblico più sicuro rispetto ai propri data center, la stragrande maggioranza (92%) ammette un significativo divario tra la propria immaturità in merito ai programmi di sicurezza in cloud e il suo utilizzo. «Una mancanza di conoscenze – rileva Zarri – che non risparmia la dirigenza, se solo l’8% dei responsabili d’area informatica dichiara di comprendere appieno il ruolo del proprio team nel garantire la sicurezza del cloud rispetto al provider di servizi». Un altro aspetto che concorre al suddetto divario è legato alla mancanza all’interno dell’organizzazione di una strategia coesa e lungimirante di cybersecurity. «Accade sempre più spesso di vedere situazioni in cui servizi e applicazioni cloud sono utilizzati da unità di business al di fuori della conoscenza dell’IT e del team di cybersecurity. Le linee di business – continua Zarri – realizzano rapidamente un’efficienza nell’investimento, mentre la collaborazione con il team di cybersecurity è percepita come una minaccia alla velocità di raggiungimento degli obiettivi».

FORMAZIONE E COMPETENZE

La migrazione verso il cloud inoltre ha acutizzato l’annoso problema legato allo skill shortage e alla necessità di formare il proprio personale alle nuove tecnologie. La ricerca IDC Cloud-Based Enterprise Application Performance Survey, condotta su un campione di mille aziende a livello mondiale, conferma la stretta correlazione tra competenze interne all’azienda e il successo delle iniziative cloud. «I risultati della ricerca – spiega Patano di IDC – ci dicono che team di migrazione al cloud ben addestrati soddisfano quasi il 90% degli obiettivi di business rispetto a meno del 50% dei traguardi raggiunti da team con un livello di competenza medio. L’80% delle aziende con competenze sufficienti in strumenti di automazione e orchestrazione, elementi cardine nel journey-to-cloud, dichiarano di essere soddisfatte o molto soddisfatte dell’impatto aziendale del passaggio al cloud. Solo il 20% delle aziende senza competenze sufficienti dichiara di essere soddisfatto dell’impatto del cloud, mentre il 90% delle aziende con team ben formati sono soddisfatte della loro capacità di monitorare, prevedere e ottimizzare server, storage e risorse di rete». La necessità di adeguare le competenze tecnologiche del personale IT e di business è estremamente diffusa presso i responsabili aziendali. Una consapevolezza – sottolinea Patano – frustrata da criticità che con il tempo si sono fatte sempre più radicate.

ERRORI COMUNI E VULNERABILITÀ

Molte aziende, al fine di accelerare i percorsi e i processi di digital transformation, stanno migrando progressivamente i loro servizi di business in cloud in un contesto ibrido che include applicazioni e risorse – sia in cloud che on-premise – spesso interconnesse tra loro. «In questo passaggio – spiega Zarri di Oracle – accade però che alcune aziende rimangano legate al tradizionale concetto di perimetro fisico della rete, limitato al controllo degli accessi tipicamente tramite firewall. Il cloud invece per far fronte ai mutati processi derivanti dalla presenza di risorse IT, dentro e fuori il perimetro dell’azienda, prevede modalità di gestione, competenze e strumenti nuovi».

La riorganizzazione dei processi aziendali e il maggior numero di persone al lavoro da remoto hanno dilatato il perimetro d’attacco spingendo i cyber-criminali a sviluppare nuove minacce mirate che sfruttano le vulnerabilità esistenti. Tutto questo – osserva Morten Lehn, general manager Italy di Kaspersky – «ha elevato i rischi informatici associati all’utilizzo di applicazioni e servizi non supportati, aumentati durante lo smart working, generando l’utilizzo di applicazioni non autorizzate dall’azienda (Shadow IT). Un fenomeno che può portare alla compromissione dei dati aziendali e minacciare la reputazione dell’organizzazione».

Leggi anche:  CRIF punta sull'APIfication

Per molte aziende alle prese con le problematiche cloud, la mancanza di familiarità con la gestione dell’ambiente e le differenze con un sistema puramente on-premise è una delle sfide più impegnative da affrontare. Le configurazioni cloud spesso infatti combinano servizi diversi di più fornitori, spesso in tandem con data center fisici. Il tutto dovendo tenere altresì conto della sicurezza. La stretta interconnessione poi tra componenti dei sistemi cloud rende complesso mappare i potenziali vettori di attacco. Molti fattori, come

l’inesperienza nella protezione dei sistemi cloud, configurazioni errate, uso improprio della tecnologia, mancanza di controlli adeguati e supervisione, concorrono al rischio di esporre workload e applicazioni ad attacchi devastanti. Tuttavia, la migrazione delle applicazioni verso il cloud è solo una parte dell’equazione. «Se l’infrastruttura di rete e di sicurezza sottostante non è stata creata per supportare il cloud, possono sorgere dei problemi, che la situazione creatasi con la pandemia ha rapidamente evidenziato» – sottolinea Schreiber di Zscaler.

VISIBILITÀ E COMPLIANCE

Le principali vulnerabilità – secondo Giannetto di ReeVo – sono legate alla mancanza di visibilità e controllo da parte dei clienti nella propria area di responsabilità. «Da qui emerge l’importanza di un monitoraggio costante e proattivo sui dati per garantire la massima aderenza alla compliance: da dove arrivano, chi li tratta, dove vanno».

Negli ambienti cloud, secondo il Cloud Security Report 2020, gli errori di configurazione sono la prima causa di criticità legate alla cybersecurity. La pensa così il 68% delle aziende interpellate, seguita da accessi non autorizzati (58%), interfacce non sicure (52%) e dirottamento di account (50%). «Dai nostri dati – spiega David Gubiani, regional director SE EMEA Southern di Check Point Software Technologies – emerge che in Italia l’email contenente allegati e link malevoli resta il vettore d’attacco preferito. Mentre con l’aumento del lavoro da remoto, registriamo un incremento del vishing, una truffa telefonica che sfrutta l’ingegneria sociale per rafforzare il phishing via e-mail».

Non meno trascurabili sono le vulnerabilità legate alle credenziali compromesse che vengono sfruttate dagli hacker per l’80% delle attività di hacking. In crescita, anche i pericoli connessi all’errata configurazione dei container, tecnologia in rapida ascesa negli ultimi anni. Software come Docker, Kubernetes e AWS Lambda offrono implementazioni cloud efficienti alle organizzazioni desiderose di semplificare le operazioni di sviluppo software, ma allo stesso tempo prestano il fianco a errori di configurazione molto comuni che espongono i sistemi al rischio di attacchi.

Muoversi in modo strategico è uno dei criteri che deve dettare il ritmo del passaggio in sicurezza al cloud – spiega Enzo Mudu, IBM Cloud & Cognitive – Security TechSales Leader di IBM Italy. «Le aziende che si basano su analisi di cloud provider affidabili, che danno le corrette linee guida e una valutazione olistica, non solo non corrono alcun rischio ma guadagnano in sicurezza perché possono far leva sui più alti standard di protezione».

Passare a servizi cloud – sintetizza Luca Borio, cloud services manager di EOS Solutions – significa anche riorganizzare l’azienda, formare i collaboratori e il suggerimento è di diffidare da chi propone soluzioni “pronti, via!”. Naturalmente occorre anche strutturarsi per integrare una serie di tecnologie centrali per innalzare il livello di sicurezza. «Quando l’attività lavorativa si svolge lontano dalla rete di fiducia e al di fuori del perimetro tradizionale, una nuova infrastruttura è essenziale per garantire le prestazioni» – spiega Schreiber di Zscaler. «Non si può scegliere tra la velocità della rete da un lato e la sicurezza dall’altro. È necessaria una strategia che garantisca sia l’accesso sicuro che le performance. La definizione delle regole di base di un’infrastruttura pronta per il cloud deve sempre essere prioritaria».

Considerato poi il ricorso massivo al lavoro da remoto – sottolinea Zarri di Oracle – aziende e organizzazioni devono necessariamente concentrare i loro sforzi su un sistema di gestione dell’identità digitale e di controllo degli accessi, adottando sistemi che includano meccanismi di multi-factor authentication e autenticazione adattiva basata sul rischio, informazioni di geo-location, user-velocity, filtering di indirizzi IP rischiosi, al fine di bloccare l’utente se necessario oppure sfidarlo con meccanismi di strong authentication.

L’imprevedibilità e la poca competenza di chi accede alle infrastrutture cloud sono il vero problema di sicurezza. «La causa principale degli exploit in un ambiente cloud è l’uomo» – afferma Giannetto di ReeVo. «Il dipendente, ma anche lo sviluppatore. Il dipendente che abbocca facilmente a un phishing e lo sviluppatore che agisce liberamente sulle configurazioni applicative possono essere fonti di attacco». Da qui la necessità di sviluppare un approccio di tipo Zero Trust, in modo che solo gli utenti e i terminali autorizzati possano accedere alle infrastrutture e ai dati.

IL CONTRIBUTO DEI CLOUD PROVIDER

Nell’acquisto di un certo servizio in cloud è importante la disponibilità di servizi che permettono di gestire, monitorare e ottimizzare anche dal punto di vista della sicurezza, processi e carichi di lavoro. Nella scelta di un cloud provider – spiega Zarri di Oracle – è cruciale considerare gli strumenti di monitoraggio dei servizi e dei carichi di lavoro, per migliorarne visibilità e controllo, ridurre i tempi di risoluzione dei problemi, prevenire le interruzioni dei servizi e consentire all’IT di gestire le applicazioni da una prospettiva aziendale. «I cloud provider offrono ai propri clienti avanzati strumenti automatizzati, basati su AI e UEBA (User & Entity Behavior Analytics), per incrementare la “postura” di sicurezza, nell’area di responsabilità del cliente, e identificare errori di configurazione così come attività degli amministratori potenzialmente pericolose per la sicurezza. Strumenti che possono intraprendere azioni di remediation manuali e/o automatiche, al fine di risolvere le potenziali falle di sicurezza individuate». Un servizio in cloud, che sia containerizzato o di tipo tradizionale, nel momento stesso in cui viene esposto al pubblico corre il rischio di essere attaccato – aggiunge Mudu di IBM. «Solo con un monitoraggio attivo su tutte le potenziali vulnerabilità, possibilmente con uno strumento che possa far leva su un sistema di intelligenza artificiale per correlare tutte le minacce, si può avere una difesa efficace contro gli attacchi».

IL CONTRIBUTO DELL’ADVISOR

Una nuova infrastruttura IT istanziata su ambienti multicloud risponde a esigenze e dinamiche di protezione e monitoraggio – spiega Gianluigi Citterio, head of presales technology di Gruppo Lutech. «Risulta quindi fondamentale poter contare su esperienze e competenze già consolidate su queste tipologie di infrastrutture dai perimetri evanescenti». Il nuovo modo di lavorare e interagire – sottolinea Alessandro Biagini, regional sales manager di Forcepoint Italia – ha generato l’esigenza di sistemi di sicurezza non invasivi e semplici da utilizzare e che non implichino un impegno aggiuntivo per l’utente, che deve essere protetto senza dover mettere in atto in prima persona strategie particolari o complesse. «Oggi più che mai si cerca differenziazione e innovazione per le attività, soluzioni rapide e risparmi sui costi: tutti questi requisiti esercitano una grande pressione sul settore della cybersecurity e la necessità di una soluzione cloud-native si fa sempre più forte».

IL FUTURO DEGLI INVESTIMENTI

Il dibattito da anni in corso su tempi e modi della migrazione in cloud da parte delle aziende italiane è stato improvvisamente inghiottito dalla necessità di migrare in fretta per attenuare gli effetti paralizzanti dell’emergenza sanitaria. Molte aziende hanno accelerato una trasformazione che in condizioni normali avrebbe richiesto anni. Diventando nel giro di pochi mesi molto più dipendenti dal cloud per il loro business. «Non per tutti però il passaggio al cloud è stato indolore e possibile nei tempi brevi che l’urgenza richiedeva»  – osserva Patano di IDC. «Per molti infatti la migrazione avrebbe significato un ridisegno complessivo della propria infrastruttura “eccessivamente” legacy con workload business critical non facilmente migrabili nel cloud. Per queste realtà si è trattato di scegliere come muoversi e nella maggior parte dei casi scendere a compromessi. Anche per una scarsa formazione dell’IT in tema di gestione e implementazione del cloud». Nonostante questo – secondo Patano – nei prossimi anni, assisteremo a un consolidamento dei trend di questi ultimi mesi a partire dalla consapevolezza da parte dei responsabili aziendali dell’importanza del cloud per lo sviluppo futuro aziendale sia dell’IT che del business.

Consolidamento che pur in un clima di grande incertezza, come quello che vivremo nei prossimi mesi, investirà nel medio periodo anche la curva degli investimenti in sicurezza connessi alla migrazione in cloud. Secondo quanto emerge da alcune delle survey più recenti che IDC ha condotto a livello europeo – ad esempio, la European IT Security Survey del 2020 – l’ultimo anno è stato particolarmente difficile se guardiamo agli investimenti in sicurezza. «Nel 28% dei casi, la pandemia ha avuto un impatto negativo sugli investimenti in Europa, portando al congelamento o al decremento dei piani di sviluppo» – spiega Giancarlo Vercellino, associate research director di IDC Italia. Detto questo, Vercellino rimarca l’importanza del cloud per la gestione e l’evoluzione della sicurezza. «A frenare gli investimenti in Europa, ritroviamo una serie annosa di problemi, come la proliferazione dei sistemi legacy (47%), la necessità di bilanciare la sicurezza con altre priorità di business (45%) e una limitata capacità del top management aziendale di comprendere a fondo le problematiche connesse alla sicurezza IT (43%). Nei prossimi 24 mesi, tuttavia oltre il 40% delle imprese prevede di passare a nuove piattaforme per la gestione di oltre la metà dei workload legati alla security». La sfida nell’immediato, nei limiti delle proprie possibilità ma con un bagaglio di esperienze più solido sulle spalle, è quella di integrare in modo organico e sicuro il nuovo paradigma lavorativo sempre più intriso di cloud e agile working all’interno della propria strategia di sicurezza, alla luce delle nuove priorità e degli obiettivi di business.

Leggi anche:  Connected car sempre più vulnerabili agli attacchi cyber