Sulla sicurezza nel/del Cloud si sta scrivendo e si scriverà tanto, i dubbi sono tanti e le ricette con le soluzioni si stanno sprecando (spesso a sproposito).
L’idea che ha dato il via a questo post parte da un paio di articoli che ho fatto ultimamente (qui e qui) che hanno destato un certo interesse, soprattutto su alcuni gruppi di LinkedIn (qui e qui un paio di esempi). In pratica, uno dice cloud e, gira e rigira, si finisce sempre a parlare di sicurezza del cloud… ma forse nel modo sbagliato.
Sicurezza o terrore?
Già, proprio così. Spesso dietro al termine di sicurezza si cela un più subdolo sentimento di paura (in alcuni casi terrore) del cloud. Quindi sarebbe meglio parlare più di insicurezza che di sicurezza.
In ogni caso, da quello che ho potuto notare, il problema della “sicurezza sul cloud” ha tre aspetti fondamentali, particolarmente forti nell’SMB: la fiducia, il rischio e l’ignoranza. Quello che segue, metto le mani avanti, riguarda in particolare l’SMB.
L’ignoranza sul cloud
Il primo aspetto su cui mi voglio soffermare è l’aspetto decisamente più delicato: la mancanza di cultura. Ok, ormai mi ripeto troppo spesso ma, gli utenti finali ignorano la materia (non solo il cloud, l’IT in generale!). I loro consulenti, soprattutto quando ci si riferisce a imprese molto piccole, sono dei “meccanici prestati all’informatica” che, purtroppo, non hanno le capacità per investire in cultura di base (figuriamoci investire sul cloud!). E per ultimi i rappresentati dei vendor che, poverini, il loro obiettivo è il quarto e non vogliono o non possono guardare troppo più in la del loro naso (fra l’altro questi sono i peggiori perché vengono anche indottrinati male dalla loro azienda).
Il risultato è semplice: Ignoranza uguale paura.
Fra l’altro, se anche un utente finale prova ad alzare la testa e chiede di parlare di cloud i suoi interlocutori (il consulente/rivenditore locale e il rappresentante della multinazionale) sono i primi a fare quello che tecnicamente si chiama FUD (Fear, Uncertainty and Doubt).
Il cliente si trova quindi, di nuovo, da solo e preferisce rimandare ogni investimento sul cloud per il rischio di perdere il supporto del sui “indispensabili” interlocutori.
Alcune iniziative, anche lodevoli, di associazioni o singoli privati (e qui ci metto anche il nostro Juku Unplugged) stanno cercando di portare un minimo di cultura e informazione.
Manca, come al solito, il supporto delle istituzioni: speriamo che la famosa agenda digitale riesca a portare qualche cambiamento.
La fiducia nel cloud
Anche qui non si può parlare di fiducia ma è più giusto dire sfiducia. Le domande sorgono spontanee: chi gestisce i miei dati? dove li mette? come li protegge? come fa il backup? qual’è lo SLA?…
Di domande (alcune decisamente discutibili, altre indiscutibilmente sensate) ce ne sono decine e tutte hanno dietro un grosso punto di domanda, legato principalmente alla fiducia che si può riporre in chi ti da il servizio cloud.
La fiducia poi è legata a quanto detto sopra: l’ignoranza. Tanto per fare un esempio, spesso si parla di SLA a sproposito senza rapportarlo con il prezzo o l’obiettivo del servizio proposto.
In ogni caso è ovvio che qui sono i provider a dover fare il grosso del lavoro e, forse, non tutti lo stanno facendo (soprattuto alcuni di quei pochi italiani che si auto-definiscono cloud provider). La trasparenza dovrebbe essere il primo obiettivo per ottenere la fiducia. I grandi provider statunitensi, come al solito, sono più avanti anche in questo (ad esempio esistono dashboard, accessibili pubblicamente, che ti danno l’idea di come è lo stato del servizio e dello storico). In altri casi hanno degli evangelizzatori che lavorano sul territorio per spiegare come funzionano le cose (Amazon, per esempio, è molto attiva in questo… c’è anche un Italiano che purtroppo non lavora in Italia). L’Italia è indietro anche in questo (a parte qualche eccezione), sia per miopia che per ragioni di business (il piccolo cloud provider fa fatica a competere… soprattutto se viene dall’hosting a basso prezzo)
Il rischio
Ma quanto è rischioso ‘sto cloud?
Il concetto di rischio è spesso diverso da azienda ad azienda. Purtroppo, sempre parlando di SMB, ci si trova spesso davanti ad infrastrutture informatiche ridicole e dove la sicurezza viene gestita in modo approssimativo e poco professionale (magari nella convinzione che le cose siano fatte particolarmente bene!). Il fatto però che vedo e tocco la mia infrastruttura me la fa sembrare più sicura! Fra l’altro, in alcuni casi, si fa fatica a capire la differenza fra sicurezza fisica e logica e alcuni sono convinti che il proprio sistema sia poco attaccabile perché è stato installato un firewall con l’antivirus (mal configurato, però è installato) o che il backup mi permetterà di ripartire dopo un eventuale disastro (ma non è mai stato provato e non si sa in quanto tempo). Certo, anche la password con il post-it sul monitor della ragazza che sta alla recepiton (che fa anche la contabilità) ha ancora un posto importante nella sicurezza delle SMB… ma per quello si può chiudere anche un occhio a volte perché “di lei ti fidi” (e poi magari è anche carina e non ti va di rompergli troppo le scatole!)
Quindi il cloud è potenzialmente meno rischioso dell’infrastruttura locale o, almeno, tanto quanto quella locale.
Si, è vero che è necessaria anche qui una certa dose di cultura per capire se chi ti da il servizio è all’altezza, cosa succede se avviene un disastro, come vengono gestiti i dati e la loro sicurezza, ecc.
Ma è vero anche che, di solito, per quanto riguarda i cloud provider seri, la sicurezza è al primo posto dei loro pensieri e tutto viene gestito con un livello di sicurezza non paragonabile a quello che si trova nella SMB media.
Un posto speciale, in Italia, lo trova la connettività. E’ un rischio per la precarietà delle linee e per la quantità di banda. E’ vero, ma spesso anche qui esistono dei workaround.
Intanto, sempre parlando di SMB e specialmente in quelle micro, il problema dell’ADSL che cade si può risolvere anche con una connessione di backup (magari con un router WIFI-3G), mentre il problema della banda si risolve con degli apparati specializzati che la ottimizzano (basta sapere che esistono).
Da un punto di vista meno tecnico e più legato all’operatività è molto più probabile che un disservizio locale, non per forza dell’ADSL, possa impattare il lavoro di decine di persone. Un esempio? Qualche tempo fa ho parlato con un cliente, 130 posti di lavoro, che è stato fermo con la posta per un giorno proprio per un problema suo server locale… l’azienda si è praticamente fermata perché ricevono/fanno gli ordini con la posta! (ora è passato a Gmail).
Nota finale
Ok, mi sono sfogato. Il cloud non è perfetto, non è la soluzione di tutti i mali e non è adatto a tutte le situazioni. Quello che volevo dire è che i dubbi che spesso vengono sollevati sono infondati ed è necessaria molta più cultura per valutare bene vantaggi e svantaggi di queste soluzioni.
Detto questo, capisco che è difficile capire chi deve informare/formare, costa molto e spesso è un investimento a lungo termine.
L’importante, come ho scritto da qualche parte anche questa mattina, è provare il cloud con un progetto semplice, magari un progetto secondario, utilizzarlo per capire e poi decidere se continuare ad investire o meno! L’esperienza sul campo può essere utile sia per imparare che per capire… e poi, diversi provider hanno anche una opzione free per far provare i propri servizi, 😉
Condivido pienamente quanto scritto, aggiungerei un aspetto che non viene quasi mai preso in considerazione : una volta che ho scelto un provider ed ho messo in piedi il mio progetto in cloud ( piccolo o grande che sia il progetto ), che possibilità avrò poi di cambiare provider ? In che tempi ? Con che facilità protrò farlo ? Non sarebbe male che ci fosse una sorta di standard tra i CSP per agevolare questi eventuali passaggi.
Condivido pienamente quanto scritto, aggiungerei un aspetto che non viene quasi mai preso in considerazione : una volta che ho scelto un provider ed ho messo in piedi il mio progetto in cloud ( piccolo o grande che sia il progetto ), che possibilità avrò poi di cambiare provider ? In che tempi ? Con che facilità protrò farlo ? Non sarebbe male che ci fosse una sorta di standard tra i CSP per agevolare questi eventuali passaggi.