La sicurezza del cloud rappresenta oggi una sfida cruciale per le organizzazioni di tutto il mondo. Non è più solo una questione tecnica, ma un tema strategico che coinvolge i vertici aziendali, incidendo su sopravvivenza, resilienza e crescita.
In questa intervista, Patrick Schraut, Senior Vice President, Cybersecurity, e Renjith Philip, Global Cloud Security Lead di NTT DATA, condividono la loro esperienza diretta con clienti di diversi settori. Analizzano perché le configurazioni errate e le lacune di visibilità siano così pericolose, cosa significhi davvero lo zero trust negli ambienti ibridi, come prepararsi ai rischi geopolitici e perché la sicurezza del cloud riguarda tanto l’innovazione quanto la protezione dell’organizzazione.
Perché la sicurezza del cloud è un tema così attuale?
Oggi ogni organizzazione utilizza il cloud in qualche forma, anche senza rendersene conto. Alcune hanno adottato completamente piattaforme di public cloud, mentre altre accedono ai servizi cloud indirettamente, tramite applicazioni di terze parti e soluzioni software as a service (SaaS). Questa diffusione capillare rende il cloud un bersaglio primario per gli attaccanti, che lo considerano la maggiore concentrazione di dati e servizi da colpire.
La sfida è che, mentre i metodi di attacco si sono evoluti, molte organizzazioni continuano a basarsi su processi e tecnologie di sicurezza tradizionali, on-premises. Ciò crea una discrepanza tra il modo in cui i servizi vengono distribuiti e il modo in cui vengono difesi, generando un ambiente al tempo stesso critico per il business e altamente esposto. Ecco perché la sicurezza del cloud è diventata una priorità assoluta per ogni CISO e continuerà a esserlo nel prossimo futuro.
- Leggi anche → Misure proattive, risultati sicuri: rendi la tua organizzazione resiliente agli attacchi informatici
Nel modello di responsabilità condivisa, chi è realmente responsabile della sicurezza del cloud?
Talvolta si pensa erroneamente che spostare i carichi di lavoro nel cloud significhi delegare al provider tutti gli aspetti della sicurezza. In realtà, la responsabilità è condivisa. I provider cloud si occupano della sicurezza dell’infrastruttura — data center, hardware e piattaforma di base — ma le organizzazioni restano responsabili di come configurano e utilizzano i servizi.
Questa responsabilità include applicazioni, identità utente, permessi di accesso e, soprattutto, i dati. Il provider protegge le fondamenta, ma il cliente deve proteggere ciò che costruisce sopra di esse. Comprendere questa divisione è fondamentale: le organizzazioni che trascurano la propria parte del modello rischiano di lasciare i workload critici non protetti, spesso senza accorgersene fino a quando è troppo tardi.
Quali sono le maggiori difficoltà che le organizzazioni affrontano nella sicurezza del cloud?
Le due sfide più frequenti sono errori di configurazione e lacune di visibilità.
Il cloud consente di attivare nuove risorse in pochi secondi, aggirando i processi lenti e strutturati dell’IT tradizionale. Questa rapidità favorisce l’innovazione, ma crea anche zone d’ombra per i team di sicurezza. Se un servizio viene creato senza che la sicurezza ne sia informata, non può essere monitorato, rafforzato o aggiornato. Gli attaccanti sfruttano con aggressività questi servizi “nascosti”.
Parallelamente, le configurazioni errate rappresentano la causa più comune delle violazioni nel cloud. Anche un semplice errore, ome lasciare pubblico un bucket di archiviazione o impostare in modo errato una lista di controllo accessi, può esporre enormi quantità di dati sensibili.
Cosa causa in pratica gli errori di configurazione nel cloud?
La semplicità d’uso è al tempo stesso il maggior vantaggio e la più grande debolezza del cloud. Uno sviluppatore o un ingegnere può creare un nuovo server o database con pochi clic. Ma se non ha una formazione adeguata in materia di sicurezza, può inconsapevolmente creare configurazioni rischiose. Ad esempio, può connettere interfacce interne ed esterne sullo stesso server, creando un ponte involontario verso sistemi sensibili.
In passato, l’implementazione di un servizio richiedeva l’approvazione di più team, approvvigionamento, amministratori di sistema e sicurezza, fornendo così controlli naturali. Oggi, questi passaggi possono essere completamente saltati, motivo per cui le configurazioni errate sono così comuni. La soluzione risiede in una combinazione di formazione, policy chiare e, soprattutto, controlli automatici che intercettino gli errori prima del rilascio.
Come possono i team recuperare rapidamente la visibilità su account e servizi?
Qui entrano in gioco gli strumenti di Cloud Security Posture Management (CSPM). Invece di basarsi su inventari manuali, i CSPM si connettono direttamente agli account cloud presso provider come Amazon Web Services, Microsoft Azure e Google Cloud. Nel giro di poche ore, è possibile ottenere una panoramica completa e senza agenti dell’intero ambiente.
Questa visione include i tipi di servizi in esecuzione, le modalità di comunicazione, le porte aperte e le vulnerabilità note. Alcune piattaforme CSPM integrano anche funzioni di remediation automatica o assistita, consentendo di colmare le lacune più rapidamente. Per qualsiasi team alle prese con fenomeni di “shadow IT”, i CSPM rappresentano la base per una visibilità efficace.
Come si presenta la sicurezza zero trust in un modello di cloud ibrido?
La sicurezza zero trust è uno dei modelli più discussi, ma anche più fraintesi. È importante chiarire che non si tratta di un prodotto acquistabile, bensì di un framework e di una filosofia.
La sicurezza tradizionale basata sul perimetro era come un caveau: una volta entrati, si aveva libero accesso a tutto. Lo zero trust capovolge questo paradigma. Invece di fidarsi automaticamente di chi è all’interno del perimetro, richiede una verifica continua a ogni fase — che la richiesta provenga da un utente, un dispositivo, un workload o un’applicazione. Negli ambienti ibridi che uniscono data center on-premises e cloud pubblici, lo zero trust offre un approccio coerente e basato su principi.
Come spiegare in modo semplice lo zero trust?
Alla base, lo zero trust può essere riassunto in una frase: non fidarti di nulla e di nessuno, verifica tutto. Ogni utente deve autenticarsi, ogni dispositivo deve essere verificato, ogni connessione ispezionata e ogni richiesta di accesso validata secondo il principio del minimo privilegio.
Il modello parte dal presupposto che le violazioni siano inevitabili. Ciò che conta è che, anche se un attaccante ottiene un primo accesso, non possa muoversi liberamente o aumentare i propri privilegi. Lo zero trust rende molto più difficile il movimento laterale, confinando le minacce e proteggendo i dati sensibili anche se un livello di difesa viene compromesso.
Da dove dovrebbero iniziare le organizzazioni per ridurre rapidamente il rischio nel cloud?
Il risultato più rapido si ottiene con la visibilità. Non puoi proteggere ciò che non puoi vedere. Mappare tutti gli asset e i servizi presenti negli ambienti è il primo passo. Il secondo è l’automazione: i controlli manuali sono troppo lenti rispetto alla velocità del cloud.
L’automazione delle policy e della remediation riduce drasticamente il tempo tra l’individuazione di un problema e la sua correzione. Ad esempio, una regola automatica può chiudere una porta pubblica o isolare una risorsa configurata in modo errato senza intervento umano. Questa combinazione di visibilità e automazione garantisce una riduzione immediata del rischio e una maggiore resilienza.
Qual è il modo migliore per gestire automazione e postura di sicurezza nel cloud?
Spesso le organizzazioni migrano al cloud una sola volta, mantenendo quel design per anni. Le scelte iniziali determinano la sicurezza a lungo termine. Tentare di costruire tutto internamente può essere rischioso se manca l’esperienza adeguata.
L’approccio migliore è combinare competenze interne e competenze esterne di specialisti che abbiano già affrontato con successo questi progetti. I Managed Security Service Provider (MSSP), ad esempio, possono aiutare a definire i limiti di sicurezza, applicare le best practice e monitorare costantemente. L’obiettivo è ridurre il mean time to detect (MTTD) e il mean time to restore (MTTR). L’automazione accelera entrambi, mantenendo la sicurezza allineata al ritmo del business.
Come possono le organizzazioni prepararsi a interruzioni del cloud causate da eventi geopolitici?
È una delle domande più difficili che i clienti pongono oggi. Se il problema fosse un guasto hardware o software, la risposta sarebbe semplice: usare più provider cloud. Tuttavia, i rischi geopolitici spesso coinvolgono tutti i principali hyperscaler di una regione, rendendo meno efficace il cambio di provider.
L’approccio più pragmatico è considerare la geopolitica come un rischio da gestire. Ciò significa predisporre piani di emergenza, monitorare gli sviluppi globali e valutare se i workload critici debbano restare on-premises o essere replicati presso provider locali più piccoli, anche se con funzionalità inferiori rispetto agli hyperscaler. Si tratta di bilanciare resilienza e tolleranza al rischio, più che di trovare soluzioni perfette.
Cosa significa concretamente sovranità digitale?
Molte organizzazioni credono che, una volta nel cloud, i dati siano automaticamente sicuri e salvati. Tuttavia, la maggior parte dei servizi non include backup di default. Garantire la disponibilità dei dati resta una responsabilità del cliente.
La sovranità digitale comprende anche aspetti legali e normativi. Se i dati vengono archiviati fuori dalla propria giurisdizione, sorgono obblighi di conformità. Per affrontare questa sfida, è consigliabile crittografare i dati sensibili e adottare modelli Bring Your Own Key (BYOK), così che l’accesso resti sotto il controllo dell’organizzazione, non del provider. Backup e crittografia BYOK assicurano che si resti i veri proprietari dei propri dati.
Come progettare applicazioni portabili e flessibili?
Uno dei maggiori vantaggi del cloud è la sua flessibilità, ma ciò vale solo se si progetta in funzione della portabilità. Se i workload dipendono da un solo provider, la capacità di adattamento viene meno.
Le applicazioni dovrebbero essere progettate per poter essere riportate su altri provider o on-premises senza doverle ricostruire da zero. Standard aperti, containerizzazione e architetture modulari sono fondamentali per questo obiettivo. La portabilità garantisce libertà di scelta di fronte a variazioni di costi, rischi o requisiti normativi.
Come semplificare e consolidare lo stack di sicurezza del cloud?
Negli ultimi anni, gli strumenti di sicurezza cloud si sono moltiplicati. Molte organizzazioni utilizzano piattaforme sovrapposte: CSPM per la visibilità, Cloud Native Application Protection Platform (CNAPP) per difese integrate e Cloud Infrastructure Entitlement Management (CIEM) per la gestione delle identità e dei privilegi minimi. Questa proliferazione genera complessità e lacune operative.
Alcuni vendor offrono suite integrate, altri soluzioni specialistiche. La strategia migliore è consolidare dove possibile, allineare gli strumenti ai rischi reali e affidarsi a partner gestiti per colmare le lacune. La semplificazione riduce costi e attriti operativi, facilitando interventi più rapidi ed efficaci dei team di sicurezza.
Quali sono i principali miti o errori nella sicurezza del cloud?
Due convinzioni errate ricorrono spesso: che il cloud sia sicuro di default e che gli ambienti on-premises siano intrinsecamente più sicuri. Entrambe sono fuorvianti. La sicurezza non dipende dal luogo, ma da come i sistemi sono configurati e gestiti.
Le configurazioni errate restano l’errore più comune — e anche il più sottovalutato, proprio perché spesso si tratta di semplici errori umani. Tuttavia, le conseguenze possono essere devastanti, esponendo dati sensibili o aprendo accessi agli attaccanti. Correggere questo mito è una delle priorità per i responsabili della sicurezza.
Perché la sicurezza del cloud è così importante per business e innovazione?
La sicurezza del cloud non riguarda più solo la conformità normativa. Oggi tutto gira nel cloud: sistemi, dati, persino workload di intelligenza artificiale. Una violazione grave può interrompere le operazioni aziendali o distruggere la fiducia dei clienti. In questo senso, la sicurezza è sinonimo di sopravvivenza.
Ma è anche un abilitatore di innovazione. Controlli solidi consentono di rilasciare nuove applicazioni più rapidamente, adottare tecnologie emergenti in sicurezza e accedere a nuovi mercati senza rischi. La sicurezza tutela ricavi e reputazione, sbloccando al tempo stesso l’agilità per cui il cloud è nato. Non è un freno al progresso, ma la cintura di sicurezza che lo rende possibile.
Abilita il tuo business con una base sicura
La sicurezza del cloud non è opzionale: è la base per la resilienza e la crescita. Per restare un passo avanti rispetto agli attaccanti, servono visibilità, automazione e un mindset zero trust, oltre alla capacità di affrontare rischi che spaziano dalle configurazioni errate alla geopolitica, fino alla sovranità digitale per mantenere il pieno controllo dei propri dati.
Soprattutto, è necessario riconoscere la sicurezza come imperativo di sopravvivenza e motore di business. È questo che significa abilitare il business in sicurezza: proteggere l’impresa, consentendole al contempo di innovare.