Proteggete i vostri dati nel cloud: le garanzie di SecNumCloud

La migrazione verso il Cloud non conosce crisi. Non solo la sua adozione riguarda tutti i settori e comprende i più sensibili, ma la parte di dati e delle applicazioni nel cloud non smette di crescere. Il cloud rimane tuttavia un argomento ansiogeno. Il principale fattore di rischio collegato alla sua adozione riguarda il mancato controllo della catena di subappalto degli host per il 48% degli RSSI intervistati in occasione della settima inchiesta del Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) presentata lo scorso gennaio.

La riservatezza dei dati è critica: una questione di sovranità nazionale

In questo contesto, catalogare tutte le informazioni sensibili riveste un’importanza capitale.

Esistono 4 quattro livelli per classificare questi dati:

• Non classificati: questa definizione si applica unicamente alle informazioni che possono circolare liberamente all’esterno di un’area e non necessitano di protezione particolare.
• Uso interno: si tratta del livello predefinito che raggruppa le informazioni che possono circolare liberamente solo all’interno di una determinata area.
• Diffusione limitata: non si tratta di un livello di classificazione, ma di una definizione di protezione. Il suo obiettivo è di sensibilizzare l’utente alla discrezione necessaria che deve dimostrare nella loro manipolazione.
• Segreti: questo livello è riservato alle informazioni la cui divulgazione a persone non autorizzate potrebbe nuocere agli interessi strategici dell’organizzazione, alla sua sicurezza e alla sicurezza stessa dell’organizzazione.

I limiti della Diffusione limitata

La direttiva interministeriale n° 901/SGDSN/ANSSI (II 901) del 28 gennaio 2015 definisce gli obiettivi e le misure di sicurezza minime relative alla protezione delle informazioni sensibili, in particolare per quelle relative al livello di Diffusione Limitata (DR).

Per poter attuare una DR, è necessario passare attraverso un’omologazione ad hoc che implica un’analisi dei rischi residui. Indica che se si utilizza del materiale DR non è sufficiente per affermare che un servizio è «compliance DR».

Inoltre, un prestatore di servizi all’interno dell’infrastruttura che beneficia di una omologazione DR non può trasferire il beneficio ai suoi clienti. È l’impresa stessa, in quanto autorità di omologazione, che deve definire il processo di omologazione nel contesto in questione. la durata di questa omologazione è stabilita dall’autorità di omologazione (da uno a tre anni al massimo, il livello di riservatezza di un’informazione può cambiare per tutta la durata del suo ciclo di vita).

Per supportare le amministrazioni e le organizzazioni interessate, l’ANSSI ha pubblicato una guida che spiega in dettaglio come costruire sistemi di informazioni (SI) soggetti al trattamento delle informazioni etichettate come «livello di diffusione limitata».

«A livello pratico l’attuazione è complessa, con 21 articoli e circa 190 misure da attuare», sottolinea Frédéric Mecheti, Information Security Officer di Oodrive. Ma soprattutto, la 901 non affronta la problematica della protezione dei dati DT quando si trovano in un cloud, poiché questa soluzione era ben lungi dall’essere generalizzata nel 2015.

I vantaggi di una qualifica SecNumCloud

Con il moltiplicarsi degli attacchi informatici sofisticati, è divenuto fondamentale proteggere i contenuti salvati nel cloud. Avviato da una fase sperimentale nel 2015 con il nome di SecureCloud, lo standard SecNumCloud mira a favorire la nascita di offerte Cloud che dispongono di un alto livello di sicurezza.

Il rispetto delle esigenze dello standard SecNumCloud ha come obiettivo il raggiungimento di un livello di sicurezza che permetta la conservazione e il trattamento dei dati per cui un incidente di sicurezza comporterebbe una conseguenza limitata per il committente.

Per essere conforme a questo standard, le aziende del cloud computing devono mettere in pratica e rafforzare numerosi elementi di sicurezza, che si tratti di sicurezza fisica, organizzativa o contrattuale. Nel gennaio 2019 Oodrive è diventato il primo operatore qualificato SecNumCloud per l’insieme delle sue offerte di cloud privato. Un riconoscimento di un’iniziativa volta alla qualità e alla sicurezza, frutto di un impegno durato molti anni. Attualmente nessun service cloud di tipo SaaS tranne Oodrive è formalmente omologato per svolgere questo compito.

L’omologazione DR e la qualifica SecNumCloud sono compatibili?

Prendiamo il caso di un grande gruppo nel settore dell’energia che ha bisogno di proteggere i propri dati DR e di disporre di un’infrastruttura cloud. Come abbiamo precisato sopra, dovrà gestire la propria omologazione DR che terrà conto di un servizio garantito da terzi, il quale deve a sua volta fornire un certo numero di garanzie.

«Per questo grande gruppo l’impostazione è più semplice e rapida se si rivolge a una prestatore di servizi certificato SecNumCloud. Questa certificazione garantisce in effetti che non solo il servizio in modalità Saas sia qualificato, ma anche che i processi, il contesto e i contratti siano negli accordi di servizio», precisa Frédéric Mecheti. Con il SecNumCloud un cliente beneficia di un servizio qualificato che è stato verificato dall’inizio alla fine. Tutti gli aspetti sono trattati nell’ambito dell’audit. Questa impostazione permette di alleggerire l’analisi dei rischi della DR.

Rafforzare la sicurezza SI

La qualifica SecNumCloud permette di garantire la sicurezza del trattamento dei dati DR all’interno del cloud. Le imprese devono però rafforzare la loro politica di sicurezza per tenere in considerazione l’evoluzione delle minacce digitali.

Al fine di garantire una più grande armonizzazione delle regole di gestione dei rischi

informatici in Europa, è in corso l’elaborazione del progetto di regolamentazione europeo DORA (Digital Operational Resilience Act). In materia di gestione del rischio informatico, il testo imporrà alle entità la formalizzazione delle cartografie delle risorse informatiche e dei rischi associati oltre che una governance adattata alla gestione del rischio informatico.