Il 60% delle aziende utilizza il cloud: come rispettare le normative?
Il cloud è adottato e adoperato da un numero crescente di imprese, e la sua popolarità sembra destinata ad aumentare anche in futuro. Questa tendenza è confermata dai dati sulle spese aziendali per i servizi cloud, in crescita del 29% nel secondo trimestre dell'anno rispetto allo stesso periodo di quello precedente. Con la migrazione al cloud, nelle normative sono state introdotte modifiche volte a consolidare la sicurezza dei dati in base alla natura del business.
La conformità in materia di cloud si basa su una serie di procedure e pratiche volte a garantire che un ambiente cloud rispetti uno o più standard specifici di sicurezza e privacy. I quadri di riferimento a cui deve attenersi una determinata azienda sono determinati da fattori come la giurisdizione in cui opera, il settore o il segmento a cui appartiene e il numero di utenti che possiede.
Regolamenti chiave e relativo impatto sull'infrastruttura cloud
-
PCI DSS
Il PCI DSS (Payment Card Industry Data Security Standard) è un insieme di condizioni di sicurezza a cui devono attenersi gli esercenti che archiviano o trattano i dati dei titolari di carte di credito o debito nel cloud.
I suoi requisiti includono l'impostazione e il mantenimento di una configurazione del firewall che protegga i dati nel cloud e l'implementazione di una maggiore sicurezza degli accessi. Questa viene garantita modificando le impostazioni predefinite per le password di sistema e altre impostazioni di sicurezza. Allo stesso modo, il PCI DSS richiede la protezione dei dati archiviati sui titolari di carte di credito o debito e la crittografia degli stessi durante la trasmissione su reti pubbliche aperte. Esige inoltre il tracciamento e il monitoraggio di tutti gli accessi alle risorse di rete e ai dati dei titolari di carte di pagamento.
Il mancato rispetto delle linee guida PCI DSS per il cloud computing comporta la probabile perdita, da parte dell'azienda, della capacità di elaborare le transazioni con carte di pagamento.
-
HIPAA
Questa normativa è rivolta alle organizzazioni che gestiscono informazioni sanitarie di identificazione personale. La norma di sicurezza HIPAA del Dipartimento della salute e dei servizi umani degli Stati Uniti (HHS, Health and Human Services) richiede alle organizzazioni di salvaguardare le informazioni sanitarie protette elettronicamente (e-PHI, Protected Health Information) adottando misure amministrative, tecniche e fisiche che siano ragionevoli e appropriate.
Il Dipartimento stabilisce quattro requisiti specifici di archiviazione per la conformità alla normativa HIPAA. Il primo prevede che vengano garantite la riservatezza, l'integrità e la disponibilità delle e-PHI attraverso la crittografia, la protezione con password e altre misure di sicurezza. Il secondo esige l'identificazione delle minacce ragionevolmente prevedibili e la protezione dalle stesse, attraverso il monitoraggio costante e l'analisi dei rischi. Il terzo richiede la protezione da usi o divulgazioni non autorizzati di quei dati che possono essere protetti da protocolli di sicurezza informatica, IAM, restrizioni di accesso fisico e audit periodici dei processi interni. Il quarto e ultimo requisito pretende che venga assicurata la conformità dei membri dei team attraverso un training costante e il rispetto degli standard stabiliti da HIPAA.
-
GDPR
Il Regolamento generale sulla protezione dei dati (GDPR) è una delle leggi sulla privacy dei dati più severe e applicate al mondo. Il suo obiettivo principale è salvaguardare le informazioni personali di imprese e privati nell'Unione europea (UE).
Il GDPR richiede la protezione dei dati fin dalla progettazione e per impostazione predefinita, nonché la registrazione delle attività di trattamento e crittografia delle informazioni personali per i dati archiviati e in transito.
Di quali soluzioni hanno bisogno le aziende per conformarsi alle normative?
La maggior parte dei quadri di riferimento in materia di conformità descrive le proprie regole in termini piuttosto generici. Come possono allora le aziende avere la certezza che i dati siano protetti nel cloud, e di essere quindi conformi alle varie normative a cui devono adeguarsi? Il modo migliore è integrare soluzioni di sicurezza informatica che, per quanto possibile, proteggano i propri ambienti cloud e i dati dei clienti:
- MFA: questa soluzione si applica a tutti e tre i quadri di riferimento in materia di conformità sopra descritti. L'autenticazione a più fattori (MFA, Multi-Factor Authentication) è una necessità per qualsiasi organizzazione che desideri rispettare le normative. Secondo i dati di un recente pulse survey, ossia un sondaggio breve e regolare, il 76% degli intervistati considera l'MFA la soluzione migliore da implementare nel cloud per consolidare la conformità.
- Visibilità: un altro requisito comune a tutte le normative è la necessità di visibilità e monitoraggio dell'ambiente cloud, ovvero di una soluzione che fornisca report in tempo reale. Ciò consente alle aziende di avere davvero il controllo sui dati archiviati dei clienti.
- Firewall basato su cloud: questa tecnologia deve essere utilizzata per soddisfare i requisiti dei quadri di riferimento in materia di conformità HIPAA e GDPR. Le sue funzioni soddisfano la necessità delle aziende di crittografare sia i dati archiviati che quelli in transito ed eliminano il rischio di un attacco malware.
- Wi-Fi: per essere conformi a HIPAA e PCI DSS è fondamentale utilizzare una soluzione che protegga le connessioni Wi-Fi, ad esempio nei negozi o negli ospedali. In caso contrario, per gli hacker diventa facile introdursi nella rete aziendale, e da lì effettuare movimenti laterali che consentono l'accesso agli ambienti cloud in cui si trovano i dati che dovrebbero essere protetti.
La conformità normativa è indispensabile per le aziende che vogliono continuare a gestire le loro attività senza problemi. Con l'implementazione di queste soluzioni, le aziende possono stare al passo con le normative e approfittare di tutti i vantaggi del cloud, senza preoccuparsi di mettere a repentaglio la sicurezza e di subire poi danni economici e d'immagine.