Abbiamo analizzato alcune tra le sfide più critiche in materia di sicurezza e privacy nel cloud computing, categorizzando diverse soluzioni esistenti e confrontando i loro punti di forza e le loro limitazioni. Sulla base della precedente discussione, possiamo immaginare tre future direzioni di ricerca per garantire la sicurezza dell'ambiente cloud.
1. In primo luogo, è urgente sviluppare soluzioni avanzate per affrontare le sfide di sicurezza/privacy in ottica manageriale. La minaccia di sicurezza/privacy, infatti, può causare gravi danni all'ambiente cloud sia dal punto di vista tecnico che manageriale, ma la maggior parte degli studi attuali si concentra solo sulle sfide orientate alla tecnica, evidenziando una mancanza di soluzioni avanzate per affrontare i problemi di sicurezza e privacy dalla prospettiva gestionale. Dalla Figura 3 si può inoltre osservare come la mancanza di trasparenza e il management siano sfide debolmente coperte dalle attuali soluzioni esistenti. 2. In secondo luogo, l'integrazione di soluzioni appartenenti a categorie diverse
offre un grande potenziale per affrontare questioni di sicurezza e privacy che non possono essere risolte singolarmente da una soluzione. Ad esempio,
31 cfr. Y. LIU – Y. SUN – J. RYO – S. RIZVI – A. V. VASILAKOS, A survey of security and privacy challenges in cloud
83 integrando la crittografia e il controllo degli accessi, gli utenti sarebbero in grado di garantire il rispetto dei loro criteri di controllo degli accessi sul server cloud. Un’altra soluzione potrebbe essere invece integrare la crittografia con le soluzioni trust. Tuttavia, come integrare senza interruzione di continuità le diverse soluzioni di sicurezza rimane una sfida aperta.
3. Infine, risulta evidente come in ambiente cloud ci sia difficoltà nello stimolare la cooperazione in materia di sicurezza tra le diverse parti interessate quali provider, utenti e terzi. Il coinvolgimento di diversi attori nel cloud rende particolarmente complessi i problemi di sicurezza e privacy in quanto gli obiettivi di ognuno possono essere molto diversi da quelli degli altri, e talvolta questi obietti possono persino essere in conflitto tra loro. Ad esempio, un utente può richiedere che i provider siano più trasparenti sui loro controlli di sicurezza in modo da poter valutare e scegliere il provider più sicuro; d’altro canto, un provider può aver bisogno di proteggere l'intera infrastruttura cloud senza rivelare dettagli sulle impostazioni di sicurezza.
La creazione di relazioni di fiducia tra le varie parti interessate, che apre la strada alle negoziazioni, può essere una soluzione promettente.
Le sfide e le opportunità di ricerca restano, e la risoluzione di questi problemi di sicurezza e privacy servirà come chiave per consentire l'adozione rapida del cloud computing32-33.
32 cfr. Y. LIU – Y. SUN – J. RYO – S. RIZVI – A. V. VASILAKOS, A aurvey of security and privacy challenges in cloud
computing: solutions and future directions, 2015, p. 128-129
33 V. in argomento M. M. POTEY – C. A. DHOTE – D. H. SHARMA, Cloud computing – Understanding risk threats,
84
I nuovi principi per la sicurezza informativa
I rapidi progressi delle tecnologie dell’informazione ci hanno dato enormi capacità di elaborare, memorizzare e trasmettere dati digitali nella maggior parte dei settori di business. Ciò ha trasformato il modo di condurre il commercio, di erogare servizi governativi, fornire assistenza sanitaria e via discorrendo. Tuttavia, l’evoluzione delle tecnologie della comunicazione e dell'informazione e, in particolare, la loro confluenza ha sollevato una serie di problematiche legate alla sicurezza delle relative risorse, ed ottenere il consenso in materia di sicurezza dei sistemi informativi tra i vari stakeholder di un'organizzazione è diventato più complicato che risolvere molti problemi di natura tecnica.
Sullo sfondo dell'era elettronica sono emerse nuove strutture organizzative. Sempre più spesso si assiste alla nascita di forti coalizioni che trasformano organizzazioni tradizionalmente monolitiche, centrali e gerarchiche in reti organizzative strettamente accoppiate, caratterizzate dalla cooperazione piuttosto che dall'autonomia, e di conseguenza è nata la necessità di una sempre più intensa condivisione di informazioni e di un elevato livello di connettività interpersonale ed interorganizzativa. Le organizzazioni non sono più caratterizzate da beni fisici, ma da una rete di individui che creano, trattano, detengono e distribuiscono informazioni. E così le organizzazioni, sotto le pressioni del contenimento dei costi organizzativi e della concorrenza esterna, al fine di essere più efficienti, efficaci e reattive danno sempre più importanza all'utilizzo di reti e sistemi informativi basati su computer. Il problema è che molte di queste aziende si stanno affrettando ad adottare l’IT senza un’attenta pianificazione e senza comprenderne le fondamentali problematiche in materia di sicurezza. Paradossalmente sembra che la sicurezza sia considerata con più leggerezza in relazione ai dati contenuti nei sistemi informativi rispetto a quanto avvenga per quelli contenuti nei sistemi tradizionali. Inoltre, nel mondo aziendale la sicurezza informativa è generalmente considerata di pertinenza esclusiva del reparto IT, ed anche per tale ragione molti professionisti non vi prestano un'adeguata attenzione. In definitiva, l'uso diffuso e spesso imponderato dell’IT da parte delle
85 imprese moderne ha dato luogo ad una sorta di "cecità della sicurezza" che ha spianato la strada alla criminalità informativa.
In vista di un futuro così turbolento i Responsabili della Sicurezza IT hanno nelle loro mani la chiave per il successo o il fallimento delle proprie aziende. Il ruolo di responsabili IT sta evolvendo, e questi dovranno essere inevitabilmente i garanti della sicurezza dell’intera infrastruttura organizzativa, e non più solo dei sistemi informativi. La questione della sicurezza informatica, inoltre, non è di per sé un problema tecnico ma è un problema sociale ed organizzativo, dato che i sistemi informativi devono essere gestiti ed utilizzati dalle persone. In tal senso, più che definire delle rigide regole che dicano come comportarsi in particolari circostanze, ci sarebbe bisogno di solidi principi di cui sia costantemente richiesta l’osservanza, specialmente in assenza di norme pertinenti da seguire.
La sicurezza dei sistemi informativi dovrà riguardare non solo i dati, ma anche il mutevole contesto organizzativo in cui questi vengono interpretati ed utilizzati. I tradizionali principi in materia di sicurezza dell'informazione quali riservatezza, integrità e disponibilità dei dati saranno ancora validi, ma necessitano di essere integrati. Ricordiamone brevemente le definizioni:
1. Disponibilità dei dati, intesa come salvaguardia del patrimonio informativo nella garanzia di accesso, usabilità e confidenzialità dei dati. Da un punto di vista di gestione della sicurezza significa ridurre a livelli accettabili i rischi connessi all’accesso alle informazioni (intrusioni, furto di dati, ecc.).
2. Integrità dei dati, intesa come garanzia che l’informazione non subisca modifiche o cancellazioni a seguito di errori o di azioni volontarie, ma anche a seguito di malfunzionamenti o danni dei sistemi tecnologici.
3. Riservatezza informatica significa gestire la sicurezza in modo tale da mitigare i rischi connessi all’accesso o all’uso delle informazioni in forma non autorizzata.
Ciò che intendo proporre nel seguente paragrafo affinché le organizzazioni future possano superare le problematiche sulla sicurezza informativa, è che sia necessario accompagnare disponibilità, integrità e riservatezza con nuovi principi. In particolare,
86 per salvaguardare le future risorse informative di un’organizzazione sarà fondamentale infondere nella cultura organizzativa i principi di responsabilità, integrità (questa volta intesa come integrità delle risorse umane), fiducia ed etica.
- Responsabilità: in un'organizzazione molto ramificata è sempre più importante per i membri capire quali siano i rispettivi ruoli e le rispettive responsabilità. Oggi le strutture organizzative verticali stanno scomparendo per lasciare spazio all’empowerment, molto più efficace per una corretta gestione delle organizzazioni moderne, e si prevede i lavoratori sviluppino sempre più le proprie abilità e qualità lavorative sulla base di una chiara comprensione delle loro responsabilità.
- Integrità: l'integrità di una persona come membro di un'organizzazione è molto importante. Le informazioni, in particolare quelle sensibili, sono diventate la risorsa più importante per le organizzazioni, le quali dovrebbero valutare attentamente a chi consentirne l’accesso. Tuttavia, ci sono ancora moltissimi casi in cui i nuovi dipendenti hanno accesso alle informazioni sensibili senza che i loro riferimenti siano stati opportunamente controllati, e non sorprende che la maggior parte delle violazioni della sicurezza dei sistemi informativi provengano da dipendenti interni. Le organizzazioni devono quindi considerare come instaurare e mantenere l’integrità dei propri membri, tenendo in considerazione che una persona attualmente integra potrebbe non rimarlo per sempre (le pressioni possono cambiare individui, così come problemi coniugali, finanziari e medici possono svolgere la loro parte, talvolta in combinazione). - Fiducia: nelle organizzazioni moderne, dove l'accento è posto meno sul
controllo e la supervisione esterna e più sul controllo e la responsabilità interna, ci devono essere sistemi di fiducia reciproci. In particolare, la divisione del lavoro richiede che i lavoratori abbiano fiducia nelle norme aziendali e nei modelli di comportamento concordati, e che la fiducia agisca da collante, soprattutto nelle organizzazioni geograficamente diffuse.
- Etica: è fondamentale per un’organizzazione presupporre che i propri membri agiscano nel rispetto di determinate pratiche etiche. In particolare, per pratiche
87 etiche non ci riferiamo alle regole aziendali che possono essere applicate a tutte le procedure formalizzate, quanto più al contenuto etico di norme e comportamenti informali. Le regole si applicano in circostanze previste e prevedibili, ma non possono essere invocate in situazioni nuove e dinamiche. In molti contesti le regole semplicemente non esistono, ed un esempio interessante è internet stesso.
Oltre alla riservatezza, l’integrità e la disponibilità, i principi di responsabilità, integrità (delle risorse umane), fiducia ed etica sono la chiave per gestire con successo la sicurezza delle informazioni nel prossimo millennio. Tuttavia, gli utenti dovranno prestare attenzione al modo in cui questi principi verranno implementati. Oltre ai controlli tecnici che saranno vitali, specialmente per quanto riguarda l’accesso ai sistemi informatici e a ciò che sarà permesso fare una volta dentro, gli utenti dei futuri sistemi informativi dovranno anche fronteggiare i problemi di natura gestionale. Ironia della sorte, i principi emergenti sembrano ricondurci ai tempi più antichi, quando la tecnologia per la supervisione ed il controllo delle attività era inesistente e i manager era richiesta una solida moralità, integrità ed etica34-35.