Articolo a firma di Giacomo Lunardon – Servizi Tecnici Istituto Statale “A. Monti” di Asti e “CIS Controls Volunteer

Il ricorso ai servizi in cloud è in costante ascesa negli ultimi anni, e ha visto un incremento notevole in questo periodo a causa dell’emergenza pandemica che ha reso necessarie numerose azioni di adeguamento degli strumenti utilizzati, sia dal punto di vista tecnico che organizzativo e gestionale.

Questo articolo è frutto di una ricerca ad ampio raggio sul web, indirizzata sui termini chiave, ovvero “cloud”, “dati” e “sicurezza”, che come si può ben immaginare produce una grandissima quantità di risultati.

Dovendo filtrare la mole di informazioni, le considerazioni che seguono sono estratte e sintetizzate sulla base dei documenti pubblicati dai maggiori players mondiali del settore, che vengono riportati in sitografia.

In linea di massima si osserva una concordanza di orientamenti in termini di azioni e procedure, mentre l’approccio tecnologico può variare in funzione delle soluzioni proposte dai “big” del settore.

La sicurezza nel cloud

Quando si parla di sicurezza nel cloud, la definizione consiste in un insieme di tecniche, tecnologie, procedure e regole (anche note come “CSP” o Cloud Security Policy), che hanno come obiettivo la tutela dei dati in termini di integrità, accessibilità e affidabilità.

La responsabilità della corretta applicazione delle misure non è di esclusiva competenza del provider, ma impone anche ai fruitori una serie di adempimenti in termini di comportamento corretto e cosciente nell’ambito delle svolgimento delle mansioni d’ufficio.

Più in generale è possibile attribuire al fruitore dei servizi il compito di garantire la sicurezza dei dati, degli applicativi, dei sistemi operativi e dei sistemi locali, mentre all’erogatore dei servizi competono tutte le azioni di corretta gestione delle reti fisiche e virtuali, dei server, dei punti di archiviazione e backup, incluse naturalmente tutte le misure di sicurezza fisica degli ambienti dedicati alle installazioni hardware.

Come citato nell’articolo “Un’analisi approfondita del rapporto Clusit 2021 sulla sicurezza ICT in Italia e nel mondo”, il 2020 ha visto un notevole incremento degli episodi di cybercrime, e per questo le indicazioni che seguono possono aiutare i dirigenti a creare una serie di linee guida che, se applicate correttamente, possono garantire un maggior livello di protezione.

Per una corretta gestione della sicurezza si riportano le azioni – tutte di eguale rilevanza – che di norma sono consentite da parte di un fornitore di servizi in cloud:

Analisi del comportamento degli utenti

Solitamente presente nel pannello di controllo dell’amministratore, la sezione dedicata alla gestione dei log delle attività permette di verificare una vasta gamma di azioni eseguite dagli utenti sui dati in cloud.

Oltre alla registrazione degli accessi vengono memorizzate le azioni di apertura dei file e le relative modifiche, l’utilizzo delle app disponibili in piattaforma, l’invio e la ricezione della posta elettronica e molto altro.

Sarà compito del responsabile IT designato del dirigente effettuare i controlli nel rispetto della normativa.

Autenticazione

È sempre offerto un meccanismo di autenticazione basato su username e password e, più recentemente, inizia ad essere diffusa l’autenticazione multi fattore, che prevede ad esempio l’ulteriore invio di un codice segreto al telefono dell’utente, al fine di consentire l’utilizzo dell’account.

Cifratura

La crittografia è l’elemento fondante per la sicurezza dei dati in transito tra la postazione di lavoro e i provider dei servizi cloud.

Questi ultimi implementano le tecniche di cifratura da anni, garantendo la confidenzialità dei dati scambiati.

L’adozione ormai decennale del protocollo HTTPS permette la navigazione sicura sul sito del provider, e anche le operazioni di upload e download di file in modo sicuro.

Un servizio talvolta offerto riguarda la protezione con chiavi crittografiche dei dati “a riposo”, ovvero archivi o backup ai quali solitamente non si accede.

Questa misura cautelativa è utile in quanto l’utilizzo saltuario di queste risorse potrebbe non evidenziare accessi impropri o non autorizzati o fraudolenti.

Classificazione dei dati

Una funzionalità utile per ottimizzare la gestione dei dati è l’etichettatura, ovvero la creazione di metadati che, attribuiti ai file o alle cartelle, permettono di riconoscere una determinata tipologia di dati.

Questa possibilità agevola la classificazione di qualsiasi documento rendendolo riconoscibile in modo visivo e riducendo la possibilità che venga modificato o spostato da un utente.

Controllo degli accessi

Nella sezione dedicata alla gestione degli utenti, l’amministratore è in grado di attribuire i giusti permessi alle dovute risorse.

Questa funzionalità offerta dal provider dovrebbe essere sfruttata al meglio, limitando l’accesso a file, cartelle e applicazioni in modo restrittivo (almeno inizialmente), e adeguando poi le policy in funzione delle reali necessità emerse nel periodo iniziale.

Per consentire una gestione più efficace, è sempre possibile creare dei gruppi nei quali inserire gli utenti.

Questa soluzione permette una gestione agile delle funzioni e dei compiti, escludendo il compito ripetitivo di applicazione a ogni singolo utente.

Controllo dei report

Altra funzione interessante fornita da tutti i provider è lo studio in chiave statistica degli eventi generati dal cloud in tutti i vari aspetti.

Tra i report da controllare frequentemente si ricordano quelli del flusso di posta elettronica, lo spazio di archiviazione utilizzato e disponibile, il numero degli utenti registrati, l’utilizzo delle varie app (videoconferenza, condivisione dei file, calendario, ecc).

Tutela dalle minacce

Come elemento fondamentale di sicurezza dei file, le piattaforme cloud controllano ogni documento caricato o inviato come allegato email, al fine di ricercare virus e malware.

Per gli standard minimi, i controlli sono di norma efficaci ma non esaustivi.

Infatti alcuni software malevoli potrebbero superare indenni la scansione, talvolta passando attraverso la funzionalità di condivisione dei documenti, a volte meno restrittiva, soprattutto in termini di script degli applicativi.

Sicurezza perimetrale

Ad integrazione del punto precedente, i principali player dei servizi cloud sono dotati di sistemi di sicurezza sofisticati ed aggiornati, per cui un attacco diretto da parte di un cyber criminale difficilmente andrà a segno.

I tentativi di accesso vengono controllati e analizzati nella loro complessità, e possono essere riconosciuti per il comportamento messo in atto.

I sistemi di protezione sono conosciuti comunemente come IDS e IPS, e sono software dotati di “intelligenza artificiale”, essendo in grado di apprendere i comportamenti sospetti degli aggressori e di applicare le opportune misure difensive.

Segmentazione

Indispensabile per chi utilizza il cloud per erogare applicazioni e servizi (vedi registro elettronico), questa tecnica permette di isolare i server da quelli di altri utilizzatori, al fine di impedire comunicazioni tra macchine appartenenti a diversi soggetti.

Inoltre, per garantire un ulteriore livello di sicurezza all’interno del segmento, i provider mettono a disposizione vari software che analizzano il traffico dati al fine di individuare eventuali attività messe in atto, magari da un dipendente non fidato.

Quando si decide di passare al cloud non bisogna dunque pensare che tutti i problemi di sicurezza siano risolti e che tutto l’onere ricada sull’erogatore di app e servizi.

Anche in questo caso le azioni che costituiscono una buona procedura di “cyber hygiene” rientrano tra i compiti che il dirigente dovrebbe coordinare con il responsabile IT.

Gli elementi che rientrano in questo ambito sono di natura tecnica ma anche di tipo formativo: il personale che elabora dati in cloud deve essere preparato e aggiornato in modo adeguato e costante.

In generale gli aspetti di maggior interesse riguardano:

Ricerca e classificazione dei dati

Come in una rete locale, anche in cloud i dati devono essere organizzati in modo chiaro, dando opportune indicazioni al personale che dovrà operare su di essi.

La suddivisione in cartelle dovrebbe assumere la struttura ad “albero rovesciato”, secondo una logica basata ad esempio sull’anno scolastico, oppure sulla competenza amministrativa (didattica, amministrazione, contabilità, ecc.).

Le fasi iniziali di migrazione al cloud sono quelle più “traumatiche” per il personale che non ha mai operato prima in questi ambienti, ma sono sufficienti poche ore di preparazione per imparare a utilizzare le app più comuni in modo proficuo.

Configurazione dispositivi (protezione endpoint, aggiornamenti, vulnerabilità)

Rimane invariata la necessità di disporre di software aggiornato sulle postazioni di lavoro, così come risulta indispensabile attivare un buon sistema antivirus, a patto che venga aggiornato costantemente e vengano mantenute operative tutte le opzioni di sicurezza disponibili.

Possono essere disabilitate le funzioni di backup sul cloud, ma allo stesso tempo il responsabile IT deve consapevolmente predisporre le opportune misure per affrontare i casi di emergenza in tempi ragionevolmente brevi.

Gestione di username, password e account

Questo aspetto spesso non viene considerato con la dovuta attenzione.

La gestione ottimale delle password passa attraverso alcune regole semplici ma fondamentali, ovvero:

  • Deve essere composta da caratteri maiuscoli, minuscoli, numerici e speciali
  • Va rinnovata con cadenza regolare, almeno 3-4 volte all’anno
  • È strettamente personale e non deve essere comunicata ad altri
  • Deve essere ricordata e digitata (si sconsiglia la memorizzazione)

Allo stesso modo, la gestione ottimale dell’username dovrebbe prevedere:

  • La facile individuazione del titolare
  • Una certa brevità, per quanto possibile
  • La semplice individuazione in funzione dell’ambito di utilizzo

Inoltre la corretta gestione degli account dovrebbe seguire le seguenti procedure:

  • Mantenere un inventario dei sistemi di autenticazione
  • Utilizzare un punto di autenticazione centralizzato
  • Richiedere l’autenticazione a più fattori
  • Crittografare tutte le credenziali di autenticazione se memorizzate su dispositivi
  • Crittografare la trasmissione del nome utente e delle credenziali di autenticazione
  • Mantenere un inventario degli account
  • Stabilire una procedura di revoca dell’accesso
  • Disabilitare gli account non associati o “dormienti”
  • Assicurare che tutti gli account abbiano una data di scadenza
  • Bloccare le sessioni delle workstation per inattività
  • Monitorare i tentativi di accesso agli account disattivati
  • Avvisare in caso di comportamenti anomali di login per gli account

Come ultima considerazione, si sconsiglia vivamente l’utilizzo di account generici o non associati ad un titolare chiaramente individuato.

Spesso le scuole ricorrono a profili fittizi per generare indirizzi di posta elettronica che alla fine proliferano senza controllo e senza una verifica di reale necessità.

Questo tipo di gestione produrrà prima o poi disguidi, mancate verifiche, azioni amministrative sovrapposte o contrapposte.

La riduzione al minimo degli account generici e l’individuazione di un solo incaricato alla gestione azzera praticamente queste evenienze.

Rispetto delle clausole contrattuali

Molti fornitori di servizi cloud erogano servizi standard e aggiuntivi: questi ultimi potrebbero non rientrare nelle policy di gestione dei dati in termini di cookies e privacy.

Si rende opportuno quindi leggere attentamente i termini contrattuali riferiti a servizi o applicazioni online che richiedano una procedura precisa di attivazione e utilizzo.

Si sottolinea inoltre l’importanza di considerare le implicazioni normative derivanti dalla corretta gestione del sistema privacy, non dimenticando che i dati che intervengono nel trattamento riguardano quasi sempre studenti minori, per i quali si consiglia sempre la consulenza del DPO per gli opportuni termini di trattamento.

Rispetto delle direttive

L’aspetto strettamente comportamentale di questo paragrafo riguarda il personale coinvolto nell’utilizzo e nell’elaborazione quotidiana dei dati.

Il dirigente, sentite le indicazioni tecniche del responsabile IT, ha il compito di rendere accessibili e soprattutto accettabili le azioni da mettere in atto per aumentare il livello di sicurezza.

È più una questione relazionale che direttiva: l’adozione di alcune regole (talvolta rigide e limitanti), troverà maggior consenso se proposta al personale in modo coinvolgente e responsabilizzante.

Potrebbe essere utile chiedere una consulenza, ricorrendo ad un esperto di comunicazione, per far passare i concetti fondamentali in modo più interessante ed efficace.

Software dedicati

Quanto sopra descritto implica in sostanza una serie di azioni e di comportamenti che, se sommati gli uni agli altri, possono sembrare complicati e difficilmente attuabili.

In questa sezione verranno brevemente descritte le caratteristiche di vari software che semplificano la gestione di sicurezza cloud.

Tralasciando le citazioni ai singoli prodotti commerciali, si riportano in sintesi funzionalità e caratteristiche salienti comunemente supportate.

Cloud Access Security Broker

Conosciuti anche con l’acronimo C.A.S.B., queste piattaforme si sono diffuse con l’accresciuto ricorso da parte di P.A. e aziende ai servizi cloud, al fine di controllare gli accessi dei fruitori a svariati servizi più o meno autorizzati, utilizzando dispositivi propri o forniti dalla direzione.

Per affrontare le problematiche di sicurezza dei dati archiviati in più luoghi (appunto il cloud), l’accesso in mobilità dai vari dispositivi, la connessione da reti pubbliche e private, il C.A.S.B. diventa una componente da valutare con interesse nell’ambito dell’infrastruttura IT.

Semplificando al massimo, il sistema C.A.S.B. agisce come intermediario tra gli utenti e le applicazioni cloud: tale azione si esprime attraverso apposite applicazioni software che si trovano all’interno della rete o come applicativi cloud.

Questi sistemi forniscono funzionalità di gestione e monitoraggio, oltre a svariati meccanismi di prevenzione di eventi potenzialmente rischiosi.

A livello funzionale possono essere presenti sia come strumenti API, sia in funzione combinata di proxy e firewall, e attivi tra l’utente e il servizio cloud.

Le caratteristiche dei C.A.S.B. universalmente riconosciute come fondamentali sono la visibilità degli utenti e dei servizi da loro utilizzati, la rendicontazione in termini di report per aree e policy, l’applicazione dei criteri di sicurezza e crittografia, la protezione dalle minacce informatiche e la relativa mitigazione in caso di attacco.

Piattaforme SaaS

Le soluzioni di protezione SaaS (Software as a Service) consentono la tutela dei dati presenti in svariate realtà: data center, applicazioni cloud, endpoint.

Sono in grado di effettuare backup e ripristino dei dati in modo semplice e scalabile.

Soluzioni integrate antivirus

I maggiori distributori di software a livello mondiale propongono diverse soluzioni che vanno dalla protezione di base al sistema di controllo più evoluto.

Normalmente viene offerta una console di gestione centralizzata, dalla quale è possibile amministrare le funzionalità, tra le quali: firewall, protezione dai malware, controllo delle dotazioni e ricerca delle vulnerabilità, analisi degli spazi storage e relativa ottimizzazione.

Conclusioni

A completamento di quanto sopra riportato, il sito CSA STAR Registry permette la ricerca dei maggiori provider e il controllo del loro livello di valutazione e di applicazione delle misure di sicurezza, con riferimento al framework CCM (Cloud Controls Matrix).

È possibile confrontare le misure adottate e valutare i servizi, prendendo in considerazione i vari aspetti della sicurezza cloud sulla base di una comparazione omogenea.

In sintesi, monitoraggio, gestione e analisi dei rischi sono le parole chiave per prevenire l’azione dei cyber criminali, ma non è semplice innalzare il livello di sicurezza nell’ambito cloud, considerando la quantità dei dati e le vulnerabilità da individuare.

Indubbiamente il compito del dirigente non appare semplice, e la necessità di individuare un esperto in materia non è alla portata di tutti.

Gli obiettivi che si dovrebbero raggiungere sono comunque chiari:

  • Proteggere le dotazioni hardware, software, e i dati nel loro complesso
  • Adottare policy aggiornate e mirate al fine di ridurre i rischi
  • Semplificare per quanto possibile le procedure di sicurezza informatica
  • Formare e responsabilizzare il personale in materia di sicurezza cloud
  • Seguire linee guida riconosciute a livello internazionale (es. CIS Controls®, ISO 27017, ISO 27018)

Sitografia

https://www.barracuda.com
https://www.cisecurity.org
https://www.cloudsecurityalliance.org
https://www.csoonline.com
https://www.digitalguardian.com
https://www.forcepoint.com
https://www.gartner.com
https://www.hitachi-systems-security.com
https://www.hytrust.com
https://www.ibm.com
https://www.isc2.org
https://www.kaspersky.it
https://www.mcafee.com
https://www.networkworld.com
https://www.paloaltonetworks.com
https://www.searchsecurity.techtarget.com
https://www.sophos.com
https://www.supernap.it
https://www.vmware.com