Quote:
Originariamente inviato da Rottweiler
Guarda, sono proprio le cose che vedo tutti i giorni, il tuo discorso è proprio quello a cui mi riferivo.
Primo: dati sensibile è solo un questione di normativa, non è che il cloud sia meno sicuro.
...
Io invece non è la security che vedo come impedimento nel cloud, la security è una delle cose più sottovalutate comunque.
In che modo il cloud sarebbe meno sicuro?
|
Il cloud è meno sicuro solo per una cosa: che la sicurezza è difficile da ottenere, perchè è molto più complessa e continuamente mutevole rispetto ad aspetti come la ridondanza, il fault tolerant ecc., che sono cose molto più consolidate e per le quali si sa perfettamente cosa fare.
Ciò è vero sia per chi fornisce il cloud (perfino mega-compagnie come Amazon e Sony, che si penserebbero avere una security quasi impenetrabile, sono state vittime di data breaches) che per chi lo usa (prima o poi qualcuno in azienda che mette la password "Password1" su un account, pure importante, in cloud lo si trova, più facile prima che poi).
Se ti tieni i dati sensibili in casa e li proteggi bene (avendo personale interno o consulenti competenti nella security) tieni sotto controllo la sicurezza (sai cosa viene fatto) e la esponi con una superficie di attacco molto inferiore che se li metti in cloud, soprattutto se il cloud è di grandi provider e tende ad attirare gli attacchi.
E se invece il provider del cloud è piccolo, non puoi neppure avere molta certezza che la sua sicurezza sia allo stato dell'arte.
Perciò, per ora (magari fra quattro o cinque anni, con maggiore esperienza e consapevolezza generale della security, sarà diverso, spero ...) non consiglierei di mettere i dati in cloud ad un'azienda che ha dati sensibili.
Dati sensibili che non sono affatto solo una questione di normativa. I progetti della nuova Ferrari di Formula Uno non sono "sensibili" a norma di legge, ma sono "super sensibili" per l'azienda!
Altro discorso per i dati dell'aziendina commerciale o manifatturiera, senza progetti o brevetti da proteggere, dove la "sensibilità" dei dati si limita all'evidenziare chi sono i clienti e fornitori, qual'è il fatturato ecc.
Tutte cose che non vale neppure la pena per un attaccante di andare a cercare, perchè hanno valore solo all'interno dell'azienda (a meno che l'azienda stessa non faccia strani maneggi fiscali, tali da voler cercare di tenerli nascosti in casa, ammesso di riuscirci!).
Su tutto il resto non ci torno, per me è decisamente chiaro che sistemi "standard" come la posta non ha senso tenerseli in casa se non ci passano dati di effettiva confidenzialità ed ho già spiegato abbondantemente il perchè ed il percome (e non sto a disquisire su effettivi o improbabili sistemi di "recovery", più o meno artigianali, per cercare di recuperare il down di un server di posta in-house, servizio che un buon provider in outsourcing ti fa in modo strutturale ed "industrializzato").
Poi se un'azienda è già andata improvvidamente verso l'in-house senza averne avuto ragionevole motivo ma solo per paura dell'outsourcing o per la provinciale "soddisfazione" (stile anni '70 od '80) di avere le "macchinone nel CED", a questo punto si può decidere se continuare così o no.
Ovviamente un responsabile aziendale o un responsabile IT che ha fatto la precedente scelta sbagliata sarà tentato di proseguire nella cosa ("tanto abbiamo già le macchine"), anche per difendere sè stesso.
Personalmente ritengo che fare una scelta non conveniente giustificandola con una scelta non conveniente fatta in precedenza è non mitigare un errore, ma amplificarlo.
Capisco che altri la possano pensare diversamente.
Comunque grazie a tutti per le considerazioni, sono sempre scambi di punti di vista molto utili.