Cloud Security cos’è, come si fa e perché ora è il momento. Il caso Thales

Cloud security, ovvero la partita che ogni azienda – di qualsiasi forma e dimensione - si sta trovando ad affrontare per difendere i propri dati e la propria operatività. La stessa partita che da tempo un grande gruppo multinazionale come Thales ha deciso di giocare grazie ad un ecosistema di valore come quello costruito al fianco di Computer Gross. L’intervista esclusiva

Autore: Marco Maria Lorusso

Cloud security, ovvero la partita che ogni azienda – di qualsiasi forma e dimensione - si sta trovando ad affrontare per difendere i propri dati e la propria operatività. La stessa partita che da tempo un grande gruppo multinazionale come Thales ha deciso di giocare grazie ad un ecosistema di valore come quello costruito al fianco di Computer Gross.

Una partita che, mai come in questo momento, vede impegnati tutti i protagonisti dell’innovazione digitale sul territorio. Proprio nella prima parte dell’anno infatti, nel corso del costante e inevitabile aumentare della pressione che imprese e manager continuavano, e continuano, ad imprimere sul digitale, casi come l’incendio del data center di Strasburgo hanno acceso più di un campanello di allarme proprio sulla reale tenuta delle nuvole a fronte di aspettative e, appunto, pressioni che nessuno poteva mai immaginare per ampiezza e volume.  


In un simile scenario, nei giorni scorsi abbiamo avuto dunque la fortuna e l’opportunità di raggiungere e sviluppare una intervista esclusiva con Luca Calindri, Country Sales Manager Italy & Malta - Data Protection at Thales Group.



Un incontro, un'intervista, che riportiamo di seguito, che di fatto è diventata una vera e propria guida pratica alla Cloud Security e alla strada che oggi aziende e system integrator devono assolutamente percorrere per mettere al sicuro la loro ripartenza inevitabilmente digitale. Una ripartenza da cui dipende buona parte del presente e del futuro del sistema Paese Italia. 

 

Cloud security cos’è e come si fa

Incontriamo dunque Luca Calindri, seppure in formato digitale, nei giorni scorsi e proviamo a fare il punto su una situazione mai così fluida e in parte scivolosa per molti operatori e imprese. Oggi, casi concreti alla mano, sia a livello economico sia a livello di reputazione aziendale, un errore tra le nuvole può costare carissimo.
Per questo, come di consueto abbiamo provato a partire dalla base, la vera o presunta tenuta delle nuvole.



Oggi tutti ne parlano, spesso ne straparlano, tutti corrono verso il cloud, ma quanto sono davvero sicure le nuvole?

«Confermo assolutamente il trend, anzi non spendiamoci neanche troppe parole, dico solo una cosa abbastanza singolare: quando Thales ha acquisito Gemalto, Vormetric e diverse altre aziende che poi sono state armonizzate per creare un polo tecnologico estremamente forte e importante sul piano internazionale, il nome dato alla business line è stato quello di “cloud protection and licensing”.

Un nome con un cambio forte rispetto al passato, legato ad una più tradizionale attività di data protection on premise. Questo, secondo me, è già un elemento emblematico che definisce la strategia e la traiettoria che Thales vuole realizzare.
In altre parole, il dado è tratto, nel senso di una missione che consiste nell’aiutare i nostri Clienti ad accelerare in direzione del cloud, nel modo più sicuro possibile.

Questo, a maggior ragione oggi con altre tematiche legate alla sovranità del dato, al GDPR e alla Sentenza Schrems II, diventa ancora più di attualità». 

Grazie Luca ma proviamo a essere ancora più pragmatici e, si spera, utili… cosa non bisogna assolutamente fare quando si decide di muoversi verso le nuvole?

«Non bisogna dare nulla per scontato, soprattutto non si può delegare il tema della sicurezza. Questo l’abbiamo visto in modo chiarissimo, anzi abbiamo visto diversi framework da un punto di vista teorico, best practices, di chi debba intervenire tra i diversi player che compongono un servizio in cloud… una cosa è chiara: in nessun caso la responsabilità della data protection può essere passata o ceduta ad altri, rispetto all’organizzazione che possiede i dati. Quindi questo è il punto di partenza per iniziare una conversazione». 








Cloud security, le paure di manager e imprese 

Impressioni, consigli ma anche numeri reali e tangibili su cui Thales lavora da tempo.
Come azienda avete sviluppato un report molto interessante che ha chiamato in causa 3000 professionisti, un campione molto rilevante… lato vostro cosa è emerso in particolare e di che cosa hanno paura oggi i manager che corrono verso il cloud? C’è qualcosa che più li spaventa più di altro?

«Questo si collega ad un altro aspetto da evitare quando si affronta la cloud adoption: l’avvio di nuovi progetti, spesso spinti da iniziative di business, senza aver considerato gli aspetti di sicurezza, by design e by default. Talvolta, parlando con i Clienti e leggendo le survey raccolte, abbiamo riscontrato la difficoltà che emerge quando la componente di sicurezza viene aggiunta in itinere. Infine, parlavamo di problematiche e di “mal di pancia”, occorre sottolineare la fatica nel gestire diverse piattaforme cloud, derivante da diversi approcci, strumenti e console offerti dai diversi Cloud Service Provider. Ossia, in sintesi, quello che oggi chiamiamo comunemente “multicloud”.

Da questo punto di vista, Thales già da anni aveva intercettato una simile criticità e da tempo cerca di risolvere questo problema offrendo una piattaforma in grado di orchestrare il tema della sicurezza, soprattutto dal punto di vista del key management, che è quello che più ci compete da vicino.

Il tutto con l’obiettivo di permettere al cliente di avere il pieno controllo, talvolta anche fisico delle chiavi crittografiche (che non lasciano mai il suo perimetro) e con la possibilità di interfacciarsi e interoperare con tutte le piattaforme cloud principali». 

Cloud security, la strada del multicloud 

A proposito di multicloud, che sembra la forma di vita più contemporanea e vicina alle esigenze e alle necessità delle aziende in questa fase, che cosa rischiamo se non riusciamo a gestire e a orchestrare un ambiente cloud che è sempre più complicato? Che cosa ci può capitare se non prestiamo la giusta attenzione?



«Mi viene in mente una battuta: sono vent’anni quasi che ho in mente una vignetta del tipo “il cloud non è altro che un altro computer di qualcun altro in un altro data center”. Questo, secondo me, non è più vero ma resta una grande semplificazione della realtà.I problemi principali che caratterizzano il cloud, infatti, sono legati al fatto che si perde il pieno controllo e la completa visibilità del dato. Questa è una problematica oggettiva. A maggior ragione, alla luce delle considerazioni sul piano geografico/territoriale, sollevate dalle normative in materia Data Privacy.

Dove si trova il dato sensibile/personale? è protetto (cifrato)? il Cloud Provider controlla sia la cifratura, sia la gestione delle chiavi crittografiche? il dato potrebbe essere spostato fuori dalla Comunità Europea? Lo Stato in questione, potrebbe avere norme in contrasto con il GDPR? Ecco, queste sono delle problematiche assolutamente attuali che hanno spinto alcuni Clienti importanti a dire “ok, probabilmente è il caso di intervenire e di riportare in casa almeno la gestione e la custodia delle chiavi crittografiche che garantiscono la protezione dei dati”. 

Ad esempio, molti hanno scelto di riprendersi il controllo della sicurezza dei dati, per cogliere ulteriori vantaggi: uno è quello di annullanre o limitare l’effetto di lock-in da parte dei diversi Cloud Service Provider, aumentando la flessibilità e capacità di rivolgersi a diversi fornitori in base a quelle che sono le loro convenienze o efficienze interne; un altro è la capacità di garantire la protezione dei dati, coerentemente alla normativa.

L’obiettivo che Thales si pone è quello di aiutare i propri Clienti a impedire che eventuali malintenzionati (hacker o interni) possano ottenere la “combinazione vincente”, ossia l’accesso sia al dato cifrato che alla chiave cifrante, che permetterebbe di avere il “dato in chiaro” e, quindi, poterlo sfruttare a proprio vantaggio. Questa situazione rappresenta l’incubo peggiore, sia per le implicazioni normative, ma soprattutto per la sicurezza del dato e le conseguenze negative sulla reputazione di un’organizzazione»

Cloud security e approccio zero trust, cosa vuol dire e che vantaggi offre 

A proposito di cloud security e della capacità di affrontare questa sfida, sempre più spesso recentemente si parla di “zero trust”. Ci spieghi di che cosa si tratta e perché è così importante?

«“Zero Trust” è uno degli slogan più diffusi sul mercato. La nostra interpretazione del concetto, che ovviamente vuol dire “non fidarsi di nessuno”, ci porta a dire che nessun dispositivo e nessun utente viene garantito a priori. Di volta in volta si va a verificare sia l’identità delle persone che chiedono di accedere a dati ed applicazioni, sia il loro diritto in funzione del ruolo, della fascia oraria, del luogo da cui ci si collega...

In aggiunta, Thales pone l’accento sulla protezione del dato, passando attraverso una prima fase di consapevolezza (sapere dove risiede quale dato, con quale profilo di rischio o con quale profilo di sensibilità e delicatezza, ad esempio da un punto di vista di normativa) per poi definire una strategia di remediation, ossia di protezione che sia commisurata e corente con il grado di rischio. In base al nostro DNA, l’approccio di protezione di basa sulla crittografia: encryption, tokenization ed il key management.Per Thales, “la forza di una catena è pari a quella del suo anello più debole”, per cui la cifratura non ha alcun senso se non caratterizzata da una robusta protezione, gestione e custodia delle chiavi crittografiche, gli algoritmi che proteggono i dati.». 

Quali sono, lato tuo, i vantaggi più concreti che possono derivare per un’azienda che sceglie questa strada, quella della “zero trust”?

«
Le conseguenze pratiche del paradigma “Zero Trust” conducono ad una migliore “postura” in termini di sicurezza. Di fatto si tratta di prendere atto che lo scenario di riferimento è mutato: con il multicloud viene a cadere il concetto di perimetro dell’organizzazione che dobbiamo proteggere. Al contrario, il focus si sposta sul binomio “Accesso, da parte di un utente/dispositivo/applicazione – Dato, che può essere sensibile/personale/confidenziale”, indipendentemente che si faccia riferimento ad un DataCenter tradizionale, oppure un servizio in cloud». 

Cloud security la scelta di Thales

In questa fase inevitabilmente tutti chiedono il cloud e ovviamente c’è una grande inflazione di proposte, input, strategie e soluzioni di piattaforme, prodotti che parlano di cloud e in particolare di cloud security.

Il rischio per molte aziende è di fare un po’ di confusione in questo ginepraio di proposte anche molto  diverse. Perché l’idea di cloud security di Thales è unica e utile in questo momento?

  




«
Confermo assolutamente quello che abbiamo visto oggi durante la nostra chiacchierata. Noi come Thales rimaniamo legati a una specifica interpretazione del tema della sicurezza in cloud, legata a quella che è la nostra storia e al nostro DNA, quindi agli aspetti della crittografia e del key management.

Questo però è confermato anche dai principali cloud provider che oggi, a valle del GDPR e della Sentenza Schrems II, riconoscono nel fatto di avere un key management esterno un punto di forza e robustezza a garanzia della privacy e della protezione dei dati. Quindi questo conforta e conferma l’interpretazione che Thales ha sempre dato a questo tipo di tematica.

Poi cosa ci differenzia in questo momento? Certamente la fortissima attenzione, in termini di ricerca e sviluppo, alle integrazione con le API rilasciate dai principali Cloud Service Provider internazionali. Il nostro obiettivo consiste nel proporre una Piattaforma in grado di abilitare una varietà di diversi approcci in ambito Data Protection, sia in datacenter tradizionali, sia a bordo delle principali piattaforme cloud. Maggiore è il numero di casi d’uso supportati, maggiore sarà il valore della protezione dell’investimento da parte dei nostri Clienti». 

Scelte e tecnologie precise dunque ma anche un tempismo e una visione che hanno portato Thales ad essere pronta per la sfida della sicurezza tra le nuvole molto prima di quanto l’attuale scenario abbia richiesto.

Una prontezza che oggi, grazie all’ecosistema di valore costruito al fianco di Computer Gross permette a system integrator, reseller, provider di servizi di accedere ad una piattaforma di sicurezza davvero decisiva per il presente e il futuro di moltissime imprese italiane. 

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.