ENISA dissipa la nebbia sulla sicurezza del cloud computing

20 Nov, 2009, 05:00 GMT Da ENISA - European Network and Information Security Agency

BRUXELLES e HERAKLION, Grecia, November 20 /PRNewswire/ -- Come possono aziende e governi usufruire degli ovvi vantaggi del cloud computing senza mettere a rischio la propria organizzazione? L'agenzia europea per la sicurezza delle reti e dell'informazione, ENISA (European Network and Information Security Agency), risponde a questa domanda in una nuova ed esaustiva relazione intitolata "Cloud Computing: Benefits, risks and recommendations for information security"("Cloud computing: vantaggi, rischi e consigli per la sicurezza informatica") che analizza le implicazioni tecniche, e legali e, soprattutto, contiene consigli pratici su come affrontare i rischi e massimizzare i benefici per gli utenti.

Questo nuovo report di ENISA è la prima analisi indipendente e approfondita delle problematiche di sicurezza e privacy legate al passaggio al Cloud Computing, e pone l'accento su alcuni dei vantaggi, nonché su 35 possibili rischi. La relazione, elaborata in collaborazione con un gruppo di esperti de settore, è stata preceduta da un sondaggio volto a individuare le principali preoccupazioni dei potenziali clienti aziendeali rispetto al passaggio al cloud computing. "Il quadro delineato dai risultati del sondaggio è chiaro", afferma Giles Hogben, esperto di ENISA nonché redattore della relazione- "I vantaggi del cloud computing per le aziende sono evidenti: servizi IT on demand, con disponibilità quasi istantanea e senza vincoli temporali.

Tuttavia, la principale motivazione che induce molte persone a esitare è la sicurezza: e' possibile affidare in piena fiducia i propri dati e, a volte, l'intera infrastruttura IT della propria azienda, ad un fornitore esterno?

La relazione risponde a tale domanda soprattutto tramite l'Information Assurance Framework, ossia un elenco particolareggiato dei criteri e requisiti di sicurezza rispetto ai quali valutare l'affidabilità' e la sicurezza di un cloud provider. "Questo è il più importante risultato del nostro report: la nostra lista di controlli non è astratta", puntualizza Daniele Catteddu, esperto in risk management ad ENISA e co-redattore della relazione,"ma si basa su un'attenta analisi dei rischi legati a diversi scenari introdotti dal cloud computing ed è orientata in particolar modo alle esigenze dei clienti aziendali. I rischi che la nostra security check list vuole mitigare comprendono, tra gli altri, il c.d. vendor lock-in, l'inefficacia dei meccanismi di segregazione di dati e applicazioni dei clienti, nonche' rischi legali, come ad esempio le implicazioni in materia di normativa sulla protezione dei dati". L'obiettivo dell'Information Assurance Framework, e' porre i potenziali clienti in condizione di formulare le domande giuste e i provider di rispondere a tali domande una volta per tutte, piuttosto che dover continuamente ribadire la validità delle proprie procedure di sicurezza".

Al cloud computing sono inoltre legati importanti interessi economici: ad esempio, IDC prevede a livello europeo un incremento del fatturato da servizi dai 971 milioni di euro del 2008 a 6.005 milioni di euro nel 2013.

Tuttavia, come evidenziato dalla relazione, il cloud computing consente nuove opzioni di sicurezza.

Il Direttore esecutivo di ENISA, Udo Helmbrecht, sottolinea: "Le economia di scala e la flessibilità del cloud computing possono garantire ai provider un di vantaggio in termini sicurezza. Ad esempio, possono attivare istantaneamente risorse difensive quali filtering e re-routingre instradamento, introdurre più efficientemente nuovi aggiornamenti, nonché sviluppare più esaustivi sistemi fi diagnostica degli incidenti".

Il report è disponibile su:

http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment

(A causa della lunghezza dell'URL, potrebbe essere necessario copiare questo collegamento e incollarlo nella barra degli indirizzi del browser Internet. Rimuovere eventuali spazi vuoti).

FONTE ENISA - European Network and Information Security Agency