Intervista ad Alberto Manfredi, President & Chapter Leader di Cloud Security Alliance Italy (CSA Italy), ospite del prossimo executive webinar organizzato da Cybersecurity Italia “Cloud, PNRR, la raggiungibilità giuridica dei Dati e Identità Digitale”, che si terrà venerdì 18 giugno alle 11,00.
La crescita degli ultimi anni dei servizi cloud sembra non arrestarsi, soprattutto ora: le organizzazioni si trovano a gestire una forza lavoro che opera in gran parte in modalità remota a causa del Covid-19 e, pertanto, hanno accelerato il processo di digitalizzazione.
Ne consegue che, a fronte dell’evoluzione di un ambiente cloud sempre più complesso, sarà sempre più necessario avvalersi di strumenti di sicurezza. Ne abbiamo parlato con Alberto Manfredi, President & Chapter Leader di Cloud Security Alliance Italy (CSA Italy), ospite del prossimo executive webinar organizzato da Cybersecurity Italia “Cloud, PNRR, la raggiungibilità giuridica dei Dati e Identità Digitale”, che si terrà venerdì 18 giugno alle 11,00.
CyberSecurity Italia. Dott. Manfredi, lei è presidente di CSA Italy, Cloud Security Alliance. Qual è lo scopo dell’associazione?
Alberto Manfredi. CSA Italy è un’associazione no-profit di diritto italiano costituita nell’Ottobre 2011, Capitolo Italiano di Cloud Security Alliance (CSA), associazione internazionale no-profit che nasce con lo scopo di promuovere l’utilizzo di buone pratiche per la sicurezza del cloud computing, insieme alla formazione e sensibilizzazione nell’utilizzo sicuro di tutte le forme di computing. CSA ad oggi conta più di +400 aziende associate, 20 organizzazioni affiliate e gestisce una comunità di più di 100.000 professionisti interessati a conoscere, contribuire ed essere parte attiva nel mercato della sicurezza del cloud. CSA ha attivato più di 35 iniziative di ricerca sulla sicurezza cloud e coordina più di 100 capitoli a livello regionale e nazionale.
CSA Italy si propone di supportare il mercato Information and Communication Technology e Cyber Security in Italia, in particolare le PMI e Pubbliche Amministrazioni, nell’adozione di un approccio consapevole e sicuro al Cloud Computing. Certi del valore che il modello cloud computing può generare nel mercato italiano, CSA Italy intende promuovere:
- un’adeguata disciplina di sicurezza dell’utilizzatore di servizi Cloud, a partire da una corretta identificazione delle informazioni che intende trasferire e gestire nel Cloud e consapevolezza della loro importanza, necessaria per richiedere adeguate misure di sicurezza nel Cloud;
- stimolare i Cloud Provider ad essere più trasparenti nel comunicare modelli e misure di sicurezza e privacy adottate per la protezione dei dati.
CyberSecurity Italia. Alla fine di marzo 2021 la Cloud Security Alliance (CSA) e AlgoSec – fornitore di rete e cloud orientati al business soluzioni di gestione della sicurezza – hanno pubblicato “State of Cloud Security Concerns, Challenges, and Incidents”, uno studio che offre una visione approfondita del complesso ambiente cloud che è diventato ancora più articolato dall’inizio della pandemia. Quali sono le maggiori criticità emerse dal rapporto?
Alberto Manfredi. Gli obiettivi dello studio realizzato da CSA con il supporto di AlgoSec sono stati: valutare l’adozione del cloud attuale e futura; identificare le preoccupazioni sulla sicurezza dei servizi, identificare quali soluzioni di sicurezza vengono adottate; valutare l’impatto degli incidenti.
Dallo studio emerge un’adozione di soluzioni cloud rilevante. La metà delle organizzazioni intervistate hanno dichiarato di aver spostato più del 40% dei loro workload in public cloud (nel 2019 erano il 25%) e tra queste il 67% ha utilizzato AWS, il 65% Azure, mentre il 27% utilizza 3 o più cloud provider, evidenziando pertanto la crescita di strategie multi-cloud. Tuttavia, lo studio evidenzia anche una carenza di personale esperto nella gestione del cloud (47% delle preoccupazioni) amplificata da una non corretta suddivisione delle responsabilità nella gestione del cloud (il team di security operation è coinvolto soltanto nel 35% dei casi) che, entrambe, costituiscono uno dei maggiori freni nel percorso di adozione del cloud.
Più del 70% delle aziende cercano di sopperire alla carenza di personale esperto utilizzando maggiormente le misure di sicurezza e di orchestrazione fornite dal provider cloud, mentre il 52% aggiunge anche delle soluzioni fornite da terze parti. In tale scenario, le maggiori preoccupazioni sui potenziali disservizi per il business riguardano eventuali problemi del fornitore cloud (26%), errori di configurazione dei servizi (22%) ed attacchi esterni (20%). Vi invito a leggere questo breve rapporto di 10 pagine per avere maggiori dettagli sui risultati del sondaggio.
CyberSecurity Italia. Secondo nuove stime Gartner, gli investimenti in IT security e cyber risk management dovrebbero superare i 150 miliardi di dollari a livello mondiale entro la fine del 2021. Non a caso le voci che hanno visto il maggiore aumento degli investimenti nell’ultimo anno sono la cloud security, con un +41,2% di spesa a 841 milioni di dollari. E’ un buon segno o gli investimenti ancora non bastano?
Alberto Manfredi. E’ sicuramente un buon segno, anche se andrebbe letto considerando che spesso le strategie di acquisto fanno ancora riferimento ad una sicurezza informatica “bolt-on”, ovvero inserita come elemento aggiuntivo su infrastrutture e applicazioni preesistenti, invece che “built-in” (o “security by design”) e quindi considerata fin dall’inizio nella progettazione di sistemi e servizi.
Va considerato inoltre che è necessario superare il concetto di valutazione della sicurezza sulla base della quantità dei prodotti/servizi utilizzati per passare ad una valutazione basata sulla qualità o maturità delle misure implementate. Possiamo leggere il tasso di crescita degli investimenti sulla cloud security come un segnale importante nella direzione di realizzare una più efficace strategia di sicurezza che possa sfruttare le potenzialità dei servizi Security as a Service (ad es. attraverso i CASB – Cloud Access Security Brober) con l’obiettivo di ridurre il rischio di avere aree di shadow IT aziendali, ovvero utilizzi non conosciuti o impropri di servizi cloud.
CyberSecurity Italia. Il cloud computing è diventato un settore prioritario e strategico per la crescita economica di un Paese. Secondo lei come dovrebbe essere il cloud pubblico per la PA a cui sta lavorando il Governo per renderlo in linea con i valori europei di sovranità digitale e per evitare l’effetto lock-in delle aziende extra Ue?
Alberto Manfredi. CSA è già un riferimento nei requisiti di sicurezza del cloud pubblico per la PA. Mi riferisco in particolare al processo di qualifica dei fornitori cloud SaaS per la PA di AGID nel quale la certificazione di primo livello, ovvero self-assessment, CSA STAR è di fatto un requisito di sicurezza alternativo alla ISO/IEC 27001, utilizzato da più di 140 aziende che operano in Italia. Ritengo che il progetto Marketplace Cloud realizzato da AGID sia stato un successo come dimostrano i numeri raggiunti: 95 CSP, 556 servizi SaaS, 187 servizi PaaS e 125 IaaS.
La sovranità digitale non deve essere confusa con il sovranismo digitale dove, con quest’ultimo, si potrebbero alimentare ambizioni di indipendenza tecnologica e/o regolamentatoria che possono rivelarsi contradditorie o addirittura ostili verso l’innovazione tecnologica e la cooperazione internazionale. La sovranità digitale è da intendersi come una ripresa di consapevolezza dell’importanza del dato, ormai in formato digitale e fluido attraverso le reti di comunicazione, e della sua relativa custodia sulla base di una classificazione di criticità/strategicità. Ritengo pertanto utile seguire con attenzione la proposta di ENISA di uno schema di certificazione della sicurezza dei servizi cloud (EUCS), nell’ambito del regolamento Cybersecurity Act, che:
- definisce un insieme di requisiti di sicurezza per i servizi cloud (533),
- ha validità in tutti gli stati UE,
- e’ applicabile a tutte le tipologie di servizi ICT, in particolare cloud (XaaS),
- definisce 3 livelli di Assurance: Basic, Substantial, High,
- considera gli schemi nazionali esistenti (C5, SecNumCloud, CSP CERT) e standard internazionali rilevanti (ISO/IEC 27001/27002/27017 ed altri sviluppati da enti no-profit),
- ha validita’ di 3 anni con possibilita’ di rinnovo,
- include i requisiti di localizzazione del dato e della sua elaborazione,
- ha un focus sulla supply-chain,
- inserisce il concetto di Continuous Monitoring della sicurezza dei servizi cloud (per il livello High).
Il successo dello schema EUCS dipenderà molto da una integrazione efficiente verso gli standard internazionali rilevanti in ambito cyber security, i requisiti di sicurezza nazionali e i futuri schemi di certificazione GDPR e relativi Codici di Condotta. Non meno importante sarà l’estensione del riconoscimento della certificazione di sicurezza europea da parte dei paesi extra UE poiché il mercato digitale è ormai globale.
Lo schema di certificazione CSA STAR , complementare a quello ISO/IEC 27001, anticipa e si integra di fatto con quanto indicato dallo schema EUCS poiché:
- consente una valutazione su tre livelli della maturità delle misure di sicurezza implementate per ogni servizio cloud (con certificazione di terza parte),
- prevede una metodolgia di continuous monitoring (STAR Continuous Auditing),
- prevede una modalità di certificazione self-assessment (questionario di valutazione CAIQ).
Pertanto, CSA fornisce già oggi gli strumenti per gestire la transizione al cloud per la PA in sicurezza.