Più sicurezza dei dati nel cloud: cinque passi

Quando le aziende spostano interi processi di business nel cloud, gli obiettivi di business attesi possono essere raggiunti solo se la migrazione è assicurata da una strategia di sicurezza IT completa fin dall'inizio - in cui la sicurezza dei dati gioca un ruolo decisivo. NTT Security specifica le attività più importanti in cinque passi.

1. identificare e classificare i dati

All'inizio, le aziende devono determinare quali applicazioni e dati devono essere trasferiti dal proprio data center a un fornitore di cloud durante la migrazione. Per esempio, bisogna chiarire di che tipo di dati si tratta e se si tratta di dati personali, perché allora si applicano le severe norme del GDPR. In quali applicazioni saranno utilizzati i dati, da chi e come? Viene solo letto o anche elaborato? Il modello di sicurezza è costruito sulla base di queste informazioni.

2. definire il livello di protezione per ogni passo del flusso di lavoro

Sulla base della classificazione e della valutazione del rischio dei dati, il livello e la classe di protezione devono essere determinati per ogni fase del carico di lavoro. La crittografia è necessaria, e se sì, quando: durante la trasmissione, durante lo stoccaggio, a livello di campo? Sono necessari pseudonimi o token? Dove dovrebbero essere conservate le chiavi di crittografia: in sede, direttamente con il fornitore di cloud o con un fornitore di cloud separato?

3. definire regole per il controllo dell'accesso

Per raggiungere un alto livello di protezione, i dati non devono essere accessibili senza protezione in qualsiasi momento durante un processo aziendale. Si deve anche garantire che le copie dei dati memorizzati o archiviati siano protetti durante il trattamento allo stesso modo degli originali e che queste copie siano cancellate quando non sono più necessarie. A seconda dei ruoli nell'azienda, le autorizzazioni di accesso sono assegnate e la conformità è monitorata in modo che nessuna persona non autorizzata possa leggere, copiare, modificare o cancellare i dati.

4. registrare tutti gli accessi ai dati in file di log

Le aziende hanno bisogno di collegare le regole per la concessione delle autorizzazioni di accesso con una gestione completa dei log. I registri di accesso registrano e memorizzano tutte le attività dei dati. Queste registrazioni e la valutazione di tutti gli accessi ai dati e di altri eventi rilevanti per la sicurezza sono un prerequisito per il monitoraggio della sicurezza IT senza soluzione di continuità. Da un lato, l'analisi dei file di log permette di riconoscere gli eventi insoliti e determinarne le cause, e dall'altro supporta le aziende nella tracciabilità di tutte le attività durante gli audit di sicurezza.

5. osservare il ciclo di vita dei dati

L'obbligo di conservare i dati è regolato in dettaglio nei servizi finanziari, nella tecnologia medica, nel settore chimico-farmaceutico e in altre industrie. La protezione dei dati personali durante il loro intero ciclo di vita è regolata dal GDPR (in Svizzera dalla legge sulla protezione dei dati, ma il GDPR si applica anche alle aziende svizzere con relazioni commerciali nell'UE) - indipendentemente dal fatto che i dati si trovino nel proprio data center o nel cloud. Per le aziende questo significa: devono mantenere permanentemente il controllo completo sui dati personali, dalla raccolta all'elaborazione e all'archiviazione. Questo vale per le applicazioni individuali e standard, indipendentemente dal fatto che siano on-premise o nel cloud.

Fonte e ulteriori informazioni: Sicurezza NTT