Data:
21 Dec 2023
Autore:
PREO AG
On-Premise vs. Cloud
Perché i rischi del cloud sono quasi sempre anche rischi aziendali
Le soluzioni cloud svolgono un ruolo centrale nella trasformazione digitale della nostra economia. Ma con le grandi opportunità economiche che le nuove tecnologie basate sul cloud aprono a molte aziende, aumentano inevitabilmente anche i rischi, come quelli legati al vendor lock-in,cloud sprawl o attacchi informatici dal cloud. Non a caso, secondo l'Allianz Risk Barometro 2022, in tutto il mondo sono stati identificati due principali rischi aziendali: l’accesso non autorizzato ai dati aziendali centrali e sensibili e le conseguenti restrizioni operative o addirittura l’interruzione delle attività.
Attualmente, la Shadowserver Foundation riporta anche quasi 20.000 server Microsoft Exchange su reti pubbliche, di cui più della metà in Europa, che hanno raggiunto la fine del supporto, tra cui le versioni Exchange 2007 (275 server), 2010 (4062 server) e 2013 (26.298 server). Questo crea vulnerabilità critiche, tra cui CVE-2021-26855, che rendono questi server vulnerabili all'esecuzione di codice da remoto. Le statistiche indicano che molte aziende e organizzazioni non hanno ancora aggiornato i propri server nonostante la fine del supporto.
Pertanto, gli esperti di licenze PREO raccomandano vivamente di
1. Controllare e, se necessario, aggiornare tutti i server Microsoft Exchange,
2. Applicare immediatamente una patch ai sistemi identificati come vulnerabili e
3. Se non sono più possibili aggiornamenti, passare alle versioni più recenti di Exchange, tenendo conto del fatto che le licenze usate possono essere un'alternativa economicamente vantaggiosa in grado di ridurre notevolmente la spesa per le risorse IT.
Nel seguente articolo mostreremo perché i rischi del cloud non sono rischi che riguardano solo il settore IT, ma tutta l'azienda, a cosa prestare particolare attenzione nella gestione dei principali fattori di rischio e in che modo le aziende possono beneficiare dell'integrazione di software on-premise usati.
I rischi derivanti dal cloud rientrano tra le principali minacce del web
Se si dà un'occhiata all'ultimo rapporto "ENISA Threat Landscape 2023", pubblicato dall'Agenzia dell'UE per la sicurezza informatica, tra le principali minacce del web si trovano anche quelle legate al cloud. Basandosi sugli eventi reali verificatisi tra luglio 2022 e giugno 2023, emerge che le due minacce più comuni, ransomware e minacce alla disponibilità, determinano oltre il 50% del potenziale di rischio.
La probabilità di essere vittima di un attacco ransomware che crittografa i dati a danno dell'utente è quindi più alta se messa a confronto. Molti attacchi ransomware sono diretti contro i servizi cloud e i backup cloud.
La minaccia alla disponibilità e all'integrità è anch'esso un tipo di attacco molto comune, in cui si tenta di manipolare i dati cloud e quindi di compromettere l'integrità o di sovraccaricare i servizi cloud (Distributed Denial of Service, DDoS) in modo tale che la disponibilità sia minacciata, temporaneamente limitata o addirittura negata completamente. Anche i principali fornitori di servizi cloud come Microsoft si sono già trovati di fronte a uno scenario del genere. Secondo il gigante della tecnologia, la causa dei guasti dei portali web cloud Azure, Outlook, OneDrive e MS Teams nel giugno 2023 è stata probabilmente un attacco DDoS del gruppo di hacker Storm-1359, noto anche come Anonymous Sudan. Microsoft ha quindi aumentato ancora una volta gli standard di sicurezza dei suoi servizi cloud.
Altri rischi informatici, che possono rappresentare in qualsiasi momento anche un rischio per il cloud, sono i malware, in cui iservizi cloud vengono utilizzati in modo improprio per contenere e distribuire programmi dannosi, e gli attacchi alla supply chain, cioè gli attacchi alla catena di approvvigionamento del cloud, in cui diversi fornitori di servizi forniscono singoli componenti per un servizio cloud.
Identificare e gestire attivamente i rischi del cloud
Tuttavia, la valutazione del rischio aziendale nell'uso dei servizi cloud non include solo la sicurezza esterna. Una gestione completa dei rischi del cloud comprende anche i fattori di conformità e gli standard di sicurezza IT che riguardano direttamente il cloud. Per quanto riguarda la conformità, è particolarmente importante conoscere le responsabilità e reagire di conseguenza. Nel caso della protezione dei dati, ai sensi del regolamento generale sulla protezione dei dati (GDPR), i servizi cloud sono classificati, ad esempio, come elaborazione degli ordini, in modo che l'utente, in qualità di cliente, sia responsabile del rispetto degli standard di sicurezza appropriati da parte del rispettivo fornitore. Prima di stipulare un contratto d'uso, è quindi indispensabile verificarlo e dimostrare gli standard sopra menzionati sotto forma di elaborazione dei dati dell'ordine.
Per orientarsi, l'agenzia governativa per la sicurezza delle tecnologie dell'informazione (BSI) ha pubblicato un catalogo di requisiti, che viene regolarmente aggiornato in base agli sviluppi attuali. Il cosiddetto catalogo di criteri C5 definisce i requisiti minimi per un cloud computing sicuro *, e si rivolge ai fornitori di servizi cloud professionali, ai loro revisori e ai loro clienti. Il catalogo C5 è quindi uno strumento importante per la scelta di un fornitore adatto e, secondo l'agenzia BSI, una base pratica per un'efficace gestione del rischio aziendale.
Gestione dei rischi del cloud: a cosa devono prestare attenzione le aziende
La trasformazione digitale sta già facendo sì che i rischi del cloud diventino sempre più rischi aziendali. Pertanto, è necessario integrare la gestione del rischio del cloud nella gestione del rischio globale. La Cloud Security Alliance (CSA) ha esaminato i requisiti che una strategia di gestione del rischio nel cloud deve soddisfare. Le aziende dovrebbero porsi domande come:
- Quali metodi di gestione del rischio sono già implementati in azienda e sono adatti per gestire i rischi nel cloud?
- Tutte le parti coinvolte nell'organizzazione sono consapevoli del modello di responsabilità condivisa introdotto dal cloud computing e le responsabilità si riflettono adeguatamente nei processi e nei programmi di gestione del rischio?
- Tutte le unità organizzative sono consapevoli dei concetti e degli effetti della perdita indiretta di controllo causata dal cloud computing, comprese le sfide da considerare per la minimizzazione del rischio e la sua validazione?
- Tutti i responsabili aziendali sono sufficientemente consapevoli dell'impatto del cloud computing sulla diffusione delle loro supply chain e di quanto sia difficile valutare e monitorare il rischio residuo consolidato di terze parti?
- Le attuali norme di conformità sono adeguate per identificare, valutare e segnalare alle parti interessate i rischi rilevanti del cloud?
Per la maggior parte delle aziende, il cloud computing offre numerosi vantaggi collaborativi e multisito e soluzioni pratiche per un panorama IT orientato al futuro, ma comporta anche una vasta gamma di rischi in termini di sicurezza e conformità. Affrontare queste sfide richiede già di per sé alle aziende un'adeguata consapevolezza del rischio, nonché una conoscenza completa e concetti efficaci per la riduzione attiva del rischio. La nostra esperienza mostra che molti responsabili IT sono riluttanti a passare completamente al cloud sia per motivi di sicurezza sia per motivi finanziari e, almeno in alcuni settori, continuano a puntare su soluzioni on-premise collaudate ed efficienti all'interno della loro gestione delle risorse IT.
Riduzione del rischio grazie al cloud ibrido o alle soluzioni on-premise
Soprattutto nei settori con elevati standard di conformità e protezione dei dati, come l'energia, la salute, i trasporti e la logistica o lo smaltimento, ma anche nel settore delle pubbliche amministrazioni, i rischi delle soluzioni completamente cloud sono ancora troppo elevati per molti responsabili IT. Piuttosto vengono utilizzate infrastrutture cloud ibride o soluzioni complete on-premise, in cui è possibile escludere rischi per la sicurezza specifici del cloud, almeno per alcune aree. Inoltre, in questi scenari si apre la possibilità di ridurre in modo sostenibile i costi di licenza correnti attraverso l'integrazione su richiesta del software usato, come dimostra il seguente esempio di LMT Group:
L'azienda di costruzione di macchinari speciali con 2.200 postazioni voleva ottenere le licenze necessarie in base alle sue esigenze. Stiamo parlando di un'azienda con 10 sedi in tutto il mondo. La soluzione combinava, tra le altre cose, un piano Office 365 E1 con licenze usate per Office 2016 e Windows 2016 Server CAL. Il risultato è la funzionalità di un piano E3, ma senza Office ProPlus.
Risultato: senza sacrificare la produttività, l'azienda ha ottenuto un risparmio per un importo di oltre sei cifre. L'investimento viene ammortizzato già nel secondo anno. Qui troverai il caso studio completo.
Vantaggi unici: ecco perché vale la pena utilizzare il software usato di PREO
Siamo uno dei pionieri nella compravendita di licenze software usate a livello europeo eleader di mercato in Germania. Offriamo ad aziende, organizzazioni e amministrazioni pubbliche una vasta gamma di contratti multilicenza usati in qualsiasi momento, in particolare da grandi fornitori come Microsoft, Adobe, Oracle o Citrix, con i quali possono ottimizzare in modo sostenibile i costi di licenza e ottenere molteplici vantaggi:
- Elevato risparmio sui costi di licenza correnti fino al 70% rispetto alla nuova versione.
- Maggiore sostenibilità nel settore IT attraverso la promozione di un'economia circolare attiva e la riduzione dell'impronta di carbonio aziendale.
- Acquisto di licenze sicuro al 100% dal punto di vista legale e dell'audit con la massima trasparenza in tutte le fasi di elaborazione, compresa la documentazione completa nel portale di licenze PREO "Easy Compliance".
- Esperienza pluriennale nell'integrazione di licenze software usate in strutture di rete classiche o modelli di licenza ibridi.
- Conoscenza dettagliata del mercato e vasta esperienza attraverso il trasferimento sicuro di oltre un milione di licenze software usate.
- Capacità di gestione delle licenze software esistenti per grandi progetti IT con migliaia di postazioni di lavoro e sedi internazionali.
- Progetti di punta per numerose aziende di medie e grandi dimensioni in settori anche molto diversi tra loro.
*vedi https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html