L’adozione e l’utilizzo del cloud nelle aziende è in aumento e in previsione, questo trend continuerà a crescere. La spesa delle aziende per i servizi cloud indica una tendenza al rialzo, visto che nel secondo trimestre dell’anno questo indice è aumentato del 29% rispetto allo stesso periodo dell’anno precedente. La migrazione al cloud ha comportato sostanziali modifiche delle normative per consolidare la sicurezza dei dati in base alla natura dell’azienda.
La conformità al cloud si basa quindi su una serie di procedure e pratiche che garantiscono che un ambiente cloud aderisca a uno o più standard specifici di sicurezza e privacy. I quadri normativi che hanno un impatto su una determinata azienda sono delineati da fattori quali la giurisdizione in cui opera, il settore a cui appartiene e il numero di utenti.
Le principali normative e il loro impatto sull’infrastruttura cloud
- PCI DSS
Il Payment Card Industry Data Security Standard è un insieme di condizioni di sicurezza per gli esercenti che memorizzano o elaborano i dati dei titolari di una carta nel Cloud.
Tra le sue condizioni, richiede l’installazione e il mantenimento di una configurazione firewall per proteggere i dati nel Cloud e di fornire una maggiore sicurezza di accesso assicurando che vengano modificati i valori predefiniti provvisti dal fornitore per le password di sistema e altre impostazioni di sicurezza. Allo stesso modo, richiede la protezione dei dati dei titolari della carta memorizzata e la crittografia della trasmissione dei dati dei titolari della carta su reti pubbliche aperte. Inoltre, richiede il monitoraggio di tutti gli accessi alle risorse di rete e ai dati dei titolari di carta.
La mancata osservanza di queste linee guida PCI DSS per il cloud computing comporterà probabilmente la perdita della capacità dell’azienda di elaborare transazioni con carta di pagamento.
- HIPAA
Questa normativa è rivolta alle organizzazioni che gestiscono informazioni sanitarie di identificazione personale. La HIPAA Security Rule del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (HHS) richiede alle aziende di salvaguardare le informazioni sanitarie protette elettronicamente (e-PHI) adottando misure amministrative, tecniche e fisiche ragionevoli e appropriate.
Per conformarsi alla normativa, l’HHS stabilisce quattro requisiti specifici per la conservazione HIPAA. In primo luogo, è necessario garantire la riservatezza, l’integrità e la disponibilità delle e-PHI attraverso la crittografia, la protezione con password e altre misure di protezione. In secondo luogo, identificare e proteggere dalle minacce ragionevolmente prevedibili attraverso un monitoraggio regolare e un’analisi dei rischi. In terzo luogo, la protezione da usi o divulgazioni non autorizzati che possono essere protetti da protocolli di sicurezza informatica, IAM, limitazione dell’accesso fisico e verifiche periodiche dei processi interni. Infine, garantire la conformità dei membri del team attraverso una formazione regolare e l’adesione agli standard stabiliti dall’HIPAA.
- GDPR
Il Regolamento generale sulla protezione dei dati (GDPR) è una delle leggi sulla privacy dei dati più severe e più applicate al mondo. Il suo obiettivo principale è quello di salvaguardare le informazioni personali delle aziende e degli individui nell’Unione Europea (UE).
Il GDPR richiede la protezione dei dati sulle progettazioni e impostazioni predefinite, la registrazione delle attività di elaborazione e la crittografia delle informazioni personali per i dati memorizzati e in transito.
Di quali soluzioni hanno bisogno le aziende per conformarsi alle normative?
La maggior parte dei quadri di conformità descrive le proprie regole in termini relativamente generici. Come possono quindi le aziende essere sicure che i loro dati siano protetti nel Cloud e quindi conformi alle varie normative a cui aderiscono? Devono integrare soluzioni di cybersecurity che proteggano il più possibile i loro ambienti Cloud e i dati dei loro clienti:
- MFA: questa soluzione si applica a tutti e tre i quadri di conformità sopra descritti. L’autenticazione a più fattori è un must per qualsiasi azienda al fine di rispettare le normative. In un recente sondaggio Pulse, i dati hanno rivelato che il 76% degli intervistati considera questa soluzione la più importante da incorporare nel Cloud per rafforzare la conformità.
- Visibilità: un altro requisito comune a tutte le normative è la necessità di visibilità e il monitoraggio dell’ambiente Cloud, il che significa che è necessario utilizzare una soluzione che fornisca report in tempo reale. Ciò consente alle aziende di avere un controllo reale sui dati archiviati dai propri clienti.
- Cloud firewall: questa tecnologia deve essere utilizzata per soddisfare i requisiti dei quadri di conformità HIPAA e GDPR. Le sue funzioni includono la necessità per le aziende di crittografare i dati memorizzati e in transito e di eliminare la possibilità di un potenziale attacco malware.
- Wi-Fi: nel caso di HIPAA e PCI DSS, è essenziale utilizzare una soluzione che protegga le connessioni Wi-Fi, ad esempio nei negozi o negli ospedali, poiché in caso contrario gli hacker possono accedere alla rete. Una volta entrati nella rete aziendale, è più facile per loro effettuare movimenti laterali che consentano loro di accedere agli ambienti Cloud dove si trovano i dati che dovrebbero essere protetti.
La conformità alle normative è fondamentale per consentire alle aziende di continuare a gestire le proprie attività in modo fluido. Con l’implementazione di queste soluzioni, le aziende possono rispettare le normative e allo stesso tempo godere di tutti i vantaggi del Cloud, senza preoccuparsi di compromettere la sicurezza, con conseguenti perdite finanziarie e di reputazione.
Per questo motivo, è indispensabile affidarsi ad un partner affidabile per intraprendere un percorso verso la conformità. Come WSS Italia che mette a disposizione il proprio team di esperti per la verifica dello stato di sicurezza della tua infrastruttura.
Per ricevere il supporto, contatta info@wssitalia.it.
Scopri tutte le soluzioni di Security & Complince: https://www.wssitalia.it/security-compliance/
Articolo estratto da watchguard.com