Come garantire la sicurezza dei documenti in cloud

La sicurezza dei documenti in cloud è un vero rischio per l’azienda? Purtroppo sì. Migrare le applicazioni di gestione documentale nel cloud significa esporre i dati e documenti a una serie di insidie che in una rete privata sono trascurabili. Il problema riguarda la natura stessa del cloud: anche se le soluzioni vengono fornite da provider che hanno infrastrutture di data center caratterizzate da misure di sicurezza di livello molto alto, le stesse vengono utilizzate nei sistemi IT dell’utente o in contesti che possono avere contenuti livelli di security e che quindi le rendono facilmente attaccabili. Non solo, il fattore umano nell’implementazione rappresenta un momento delicato che va gestito in modo opportuno.

Sicurezza dei dati, quali i rischi dal cloud

Entrando più nello specifico del tema sicurezza dei documenti in cloud, qui di seguito sono elencate alcune delle principali minacce che possono riguardare i documenti gestiti in rete geografica. Si tratta di incidenti risolvibili o che possono essere prevenuti da un lato scegliendo provider in grado di documentare l’infrastruttura e di portare referenze attendibili e dall’altro adottando internamente tecnologie adeguate ed accurate policy di sicurezza.

1. Le API hackerate attaccano la sicurezza dei documenti in cloud

I servizi cloud si basano sull’utilizzo e la condivisione di API (Application Programming Interface) che hanno lo scopo di consentire la gestione e l’interazione con gli applicativi. La sicurezza cloud dipende quindi dalla sicurezza delle API che sono accessibili via Web e perciò di per sé rappresentano una parte molto esposta del sistema. API deboli e facilmente attaccabili dagli hacker significano problemi per la riservatezza, integrità e disponibilità del dato.

2. Sicurezza dei documenti in cloud: il rischio del data breach

Il concetto di cloud implica grandi quantità di informazioni immagazzinate nei server dei provider e sono quindi particolarmente interessanti per il cybercrime. Il GDPR è intervenuto fissando diversi principi tesi a tutelare i dati e ciò ha comportato un grande impegno dei provider al fine di impedire la cancellazione dei dati o un loro uso improprio. È indubbio però che, in ultima istanza, la responsabilità dei dati è dell’azienda che li ha raccolti e li utilizza che deve ricorrere a misure di protezione e disaster recovery.

3. Sicurezza, non solo per i documenti in cloud: le credenziali

Password semplici, gestione inefficace dei sistemi crittografici e dei certificati da parte delle aziende utenti sono occasioni imperdibili per gli hacker. La gestione delle credenziali e, in generale, delle identità sono momenti molto delicati, bisogna riuscire a bilanciare la user experience con la sicurezza. D’altra parte, il monitoraggio degli account è molto importante per intercettare episodi di phishing (furto di dati sensibili), frodi di dati ed exploit software (virus e bug che sfruttano le vulnerabilità del codice).

4. Attacchi DDOS

Una scorretta gestione delle password può rappresentare un pericolo anche rispetto agli attacchi DDOS (Distributed Denial of Service) e comportare, in pratica, l’uso delle capacità della nuvola per inviare, per esempio, messaggi di spam agli indirizzi di posta elettronica sottratti dai documenti. Si tratta di attacchi immediatamente riscontrabili in quanto richiedono, naturalmente, un elevato dispendio di risorse: proprio per questo però, se non interrotti immediatamente, si ripercuotono sulla disponibilità generale dei servizi.

5. Ransomware nel cloud

Anche i ransomware (i virus che infettano il sistema bloccandolo con la promessa di ritornare a renderlo operativo dopo il pagamento di un riscatto) possono insinuarsi nel cloud, soprattutto presso i cloud provider più piccoli che possono avere più difficoltà a rispondere ad attacchi di questo tipo.

6. Vulnerabilità di sistema

Negli ambienti cloud dove più aziende condividono le risorse è molto facile che un attaccante che sia riuscito a sfruttare una vulnerabilità di sistema acceda al resto della piattaforma cloud. Le aziende utenti di servizi cloud condividono infatti memoria e altre risorse il che, purtroppo, amplia le potenziali superfici di attacco.

7. APT e sicurezza dei documenti in cloud

Particolarmente aggressive sono infine le APT – Advanced Persistent Threats che mirano a trovare una modalità il più possibile nascosta per sottrarre dati sensibili di particolare rilevanza, informazioni sulla proprietà intellettuale eccetera. I principali cloud provider adottano tecnologie evolute specifiche per individuare e contrastare queste minacce.

Sicurezza documentale cloud: così è possibile

Organizzare una strategia finalizzata a contrastare le minacce alla sicurezza di dati e documenti in cloud è possibile coniugando una serie di azioni.

Endpoint protection e identity management

In primo luogo, per la data security in cloud è importante fissare politiche che prevedano l’uso di soluzioni per la protezione degli endpoint.

Inoltre, ogni azienda ha i propri sistemi di gestione dell’identità e degli accessi alle informazioni e alle risorse, quindi i cloud provider devono essere in grado di integrare tali sistemi nella propria offerta.

Testare la sicurezza dei documenti in cloud

Per mettersi al riparo da rischi di compromissione degli ambienti IT e attuare un approccio proattivo alla sicurezza, il mercato offre servizi di Vulnerability assessment & Penetration test per avere una fotografia del livello di sicurezza dei sistemi e degli applicativi o, nel caso, capaci di individuare possibili criticità. Vi sono anche, per esempio, prove di Vulnerability assessment che riguardano nello specifico i servizi di conservazione documentale a norma.

Proteggere l’hardware

D’altra parte, i fornitori di servizi devono proteggere fisicamente il loro hardware dagli accessi non autorizzati (oltre che da pericoli quali sbalzi di corrente, disastri naturali eccetera), è quindi molto importante ottenere dal fornitore tutta la documentazione tecnica che certifichi le caratteristiche di affidabilità, ridondanza e così via della propria infrastruttura data center.

Tecnologie per la sicurezza dei documenti in cloud

Infine, i player protagonisti del mercato cloud sono tenuti a garantire la sicurezza dei dati più o meno critici utilizzando tecnologie di protezione dei documenti e sistemi di comunicazione sicura via browser, includendo le specifiche in merito anche nei contratti di fornitura.

Contratti in cloud e sicurezza documentale

Predisporre un contratto per la fornitura di servizi in cloud è materia delicata. Si tratta di un tema vasto cui fare riferimento con attenzione (considerando che tali contratti di solito includono le condizioni del servizio, i suoi livelli qualitativi e gli obblighi delle due parti relativamente al trattamento dei dati). A quest’ultimo proposito, devono essere prescritte le modalità con cui il fornitore tratta, in particolare i dati personali, alla luce della legislazione sulla privacy.

Più in generale, le condizioni da fissare sono: i dati memorizzati sulle infrastrutture del provider restano sempre di proprietà dell’azienda; dal canto suo il fornitore deve dimostrare che adotta protocolli di crittografia, essere trasparente nel dichiarare dove si trovano fisicamente i dati e permettere di scaricare una copia dei dati in qualsiasi momento e in totale autonomia.