Conformità e best practice per chi usa Cloud|Blog WatchGuard

L'adozione e l'utilizzo del cloud negli ambienti aziendali sono in aumento e si delinea in tal senso un futuro decisamente luminoso. La spesa aziendale per i servizi cloud evidenzia questa tendenza al rialzo, poiché è aumentata del 29% nel secondo trimestre dell'anno (2022) rispetto allo stesso periodo dell'anno precedente. La migrazione al cloud ha introdotto modifiche alle normative per consolidare la sicurezza dei dati in base alla natura del business.

Pertanto, la conformità al cloud si basa su una serie di procedure e pratiche che assicurano che un ambiente cloud aderisca a uno o più standard di sicurezza e privacy specifici. I quadri che hanno un impatto su una determinata azienda sono delineati da fattori come la giurisdizione in cui opera, l'industria o il settore a cui appartiene ed il numero di utenti che ha.

Normative chiave e come influenzano l'infrastruttura cloud

PCI-DSS

Lo standard di sicurezza dei dati nel settore delle carte di pagamento è un insieme di condizioni di sicurezza per i commercianti che memorizzano o elaborano i dati dei titolari di carta nel cloud.

Tra le sue condizioni, richiede l'installazione e il mantenimento di una configurazione del firewall per proteggere i dati nel cloud e fornire una maggiore sicurezza negli accessi garantendo che le impostazioni predefinite previste dal fornitore per le password di sistema e altre impostazioni di sicurezza, vengano modificate. Allo stesso modo, richiede la protezione dei dati dei titolari di carta archiviati e la crittografia delle trasmissioni dei dati dei titolari di carta su reti pubbliche aperte. Inoltre, si prevede il tracciamento ed il monitoraggio di tutti gli accessi alle risorse di rete e ai dati dei titolari di carta.

Il mancato rispetto di queste linee guida sul cloud computing PCI DSS comporterà probabilmente la perdita della capacità dell'azienda di elaborare le transazioni con carta di pagamento.

HIPAA

Questa regolamentazione è rivolta alle organizzazioni che gestiscono informazioni sanitarie di identificazione personale. Le regole di sicurezza del Dipartimento della salute e dei servizi umani degli Stati Uniti (HHS) richiede alle organizzazioni di salvaguardare le informazioni sanitarie protette elettronicamente (e-PHI) adottando misure amministrative, tecniche e fisiche ragionevoli e appropriate.

Per conformarsi alla regolamentazione, l'HHS stabilisce quattro specifici requisiti di archiviazione HIPAA. In primo luogo, garantisce la riservatezza, l'integrità e la disponibilità di e-PHI attraverso la crittografia, la protezione tramite password e altre misure protettive. In secondo luogo, l'identificazione e la protezione da minacce ragionevolmente prevedibili attraverso il monitoraggio regolare e l'analisi dei rischi. In terzo luogo, protezione da usi o divulgazioni non autorizzati che possono essere protetti da protocolli di sicurezza informatica, IAM (Identity Access management), restrizione dell'accesso fisico e controlli periodici dei processi interni. Infine, garantire la conformità dei membri del team attraverso una formazione regolare e il rispetto degli standard stabiliti da HIPAA.

GDPR

Il regolamento generale sulla protezione dei dati (GDPR) è una delle leggi sulla privacy dei dati più severe e più ampiamente applicate al mondo. Il suo obiettivo principale è salvaguardare le informazioni personali di imprese e individui nell'Unione europea (UE).

Il GDPR richiede la protezione dei dati fin dal principio del processo e come impostazione predefinita. Si impone inoltre la registrazione delle attività di elaborazione e crittografia delle informazioni personali per i dati archiviati e per quelli in transito.

Di quali soluzioni hanno bisogno le aziende per conformarsi alle normative?

La maggior parte dei framework di conformità descrive le proprie regole in termini relativamente generici. Quindi, come possono le aziende essere sicure che i loro dati siano protetti nel Cloud e quindi rispettare le varie normative a cui aderiscono?

Devono integrare soluzioni di sicurezza informatica che proteggano il più possibile i loro ambienti Cloud e i dati dei loro clienti:

MFA: Questa soluzione si applica a tutti e tre i framework di conformità sopra descritti. L'autenticazione a più fattori è un must per qualsiasi organizzazione al fine di conformarsi alle normative. In un recente sondaggio Pulse, i dati hanno rivelato che il 76% degli intervistati considera questa la migliore soluzione da incorporare nel cloud per rafforzare la conformità.

Visibilità: Un altro requisito comune a tutte le normative è la necessità di visibilità e monitoraggio dell'ambiente Cloud, per cui è necessario utilizzare una soluzione che fornisca reportistica in tempo reale. Ciò consente alle aziende di avere un vero controllo sui dati archiviati dei propri clienti.

Cloud firewall: questa tecnologia deve essere utilizzata per soddisfare i requisiti dei framework di conformità HIPAA e GDPR. Le sue funzioni includono la necessità per le aziende di crittografare sia i dati archiviati che quelli in transito ed eliminare la possibilità di un potenziale attacco di malware.

Wi-Fi: nel caso di HIPAA e PCI DSS, è essenziale utilizzare una soluzione che protegga le connessioni Wi-Fi, ad esempio, nei negozi o negli ospedali, poiché in caso contrario gli hacker possono accedere alla rete. Una volta all'interno della rete aziendale, è più facile per loro effettuare spostamenti laterali che consentano loro di accedere ad ambienti Cloud dove si trovano i dati da proteggere.

La conformità alle normative è fondamentale per le aziende per continuare a gestire le proprie attività senza attriti. Implementando queste soluzioni, le aziende possono stare al passo con le regolamentazioni godendo di tutti i vantaggi del cloud, senza preoccuparsi che la sicurezza venga compromessa, il che potrebbe comportare perdite di reputazione e finanziarie.