La sicurezza del cloud? Una questione di cultura

Per gli scettici, il computing a nuvola non può essere affidabile per un semplice motivo: i (propri) dati, fuori dalla (propria) rete non si possono controllare. Ma come la mettiamo allora, insorgono gli adepti del cloud, con le migliaia e migliaia di aziende che spendono milioni di dollari per l’hosting dei dati presso fornitori esterni? Sono questi servizi più sicuri del cloud? Il dibattito è ovviamente aperto ma se fosse realmente pericoloso far girare applicazioni e dati su server e network che non sono quelli aziendali le varie Salesforce.com e Amazon Web Services (per non parlare di Google) non sarebbero quelle che sono. Evitare di comprare nuovi server e di assumere nuovi sistemisti ed esperti di database è un’attività che alle grandi aziende piace particolarmente, meno il fatto di mettere in altrui mani le informazioni più sensibili e vitali per il business.

I cattivi pensieri circa la sicurezza dei sistemi cloud reggono su interrogativi come questi: come vengono trattati i dati gestiti in hosting? Sono costantemente protetti da soluzioni di crittografia e simili? E i controlli degli accessi? Chi mette le mani sui data center di notte? Chiedersi se i propri dati residenti in un’infrastruttura cloud sono sicuri e quanto sono sicuri è più che lecito sia ben chiaro. Meno lecito è avere dei pregiudizi mal sorretti dai fatti. Non che sia dovuto intendere come verità assoluta ciò che affermano i provider dei servizi a nuvola – come Eran Feigenbaum, direttore della sicurezza per Google Apps, secondo cui “il cloud computing può essere sicuro anche più di quanto non lo sia un ambiente informativo tradizionale” – ma neppure essere convinti a priori del contrario.

La sicurezza dei dati, per contro, è una delle chiavi per il successo dei servizi cloud e su questo sono (e siamo) tutti d’accordo. Gli scettici dovrebbero però riflettere sul fatto che i maggiori rischi di perdita dei dati critici derivano o dal comportamento poco virtuoso degli addetti aziendali o dal fatto che l’azienda non sia attrezzata per attivare e gestire un’adeguata policy di sicurezza. Sono quindi più a rischio i database aziendali su cui si collegano i laptop dei dipendenti o i dati che viaggiano su una rete protetta e certificata di un fornitore di servizi cloud? E ancora più banalmente perché non ritenere più affidabile il fatto di operare su informazioni sensibili senza il rischio di lasciarne traccia (a rischio furto o copia) sul computer dell’ufficio?

Rimane il fatto che il sapere i propri dati residenti nel server ubicato nel data center aziendale rende più sicuri e tranquilli i Cio di quanto non lo siano nel caso questi risiedano all’esterno. E allora è forse vero quello che dice Rebecca Wettemann, un vice president della società Nucleus Research: “the security concern with cloud computing is a cultural issue”. Una questione di cultura.