4 rischi che possono nascondersi in una strategia cloud aziendale

Mentre cercano di trovare l’equilibrio ideale tra il cloud e l’on-premise per i loro carichi di lavoro IT, non è raro che i CIO possano trovarsi ad affrontare sorprese che non avevano previsto, cioè quelle in cui le promesse della “nuvola” e dei suoi vendor non si sono rivelate all’altezza delle realtà dell’IT aziendale.

Anche se quella sui rischi del cloud non dovrebbe essere diversa da qualsiasi altra analisi, molte imprese trattano la questione con più delicatezza, adottando un approccio meno approfondito. In gran parte, ciò è dovuto al fatto che le aziende tendono a utilizzare le piattaforme cloud più avanzate disponibili sul mercato, con AWS, Microsoft Azure e Google Cloud Platform in cima alla lista, che limitano fortemente la portata della due diligence IT di un’azienda.

A volte vengono fatte delle eccezioni per le imprese più grandi, ma non per molte altre. Inoltre, la maggior parte delle strategie cloud aziendali coinvolge una varietà di fornitori di cloud, compresi quelli che offrono soluzioni SaaS. Le interrelazioni tra questi vari partner complicano ulteriormente l’equazione del rischio.

Il problema più ovvio a cui può essere sottoposto un patrimonio cloud riguarda le sue impostazioni e le sue configurazioni. Molti team IT dedicano un grande sforzo per mettere a punto le loro istanze, le loro architetture e i loro ambienti sulla nuvola, in modo tale che possano corrispondere esattamente alle esigenze dell’azienda, per poi scoprire che un dipendente del loro fornitore ha apportato alcune modifiche universali per tutti i clienti, annullando, di fatto, le impostazioni faticosamente create dal team IT.

Ma ci sono altre difficoltà inaspettate che i CIO possono affrontare nel cloud e di cui dovrebbero essere consapevoli. Ecco alcuni di questi rischi nascosti, con i relativi consigli su come poterli mitigare.

I vendor e come può cambiare il loro atteggiamento nei confronti del rischio

Gli stessi fornitori di servizi cloud possono incontrare problemi legati all’attività che possono mettere in discussione la loro capacità in riferimento agli standard aziendali che i CIO si sono impegnati a rispettare al momento della firma del contratto.

Quando si esegue la due diligence minima consentita dalla piattaforma cloud – rapporti SOC, conformità GDPR, PCI ROC, eccetera – è fondamentale ricordare che si tratta solo di un’istantanea scattata in un determinato momento di valutazione. Ed è qui che entra in gioco il contratto. Se si verificano cambiamenti che influiscono sulla predisposizione al rischio del vendor, come tagli alle operation o ai budget che riguardano le risorse, dovrebbe esserci una clausola contrattuale esplicita che obbliga il fornitore di cloud ad avvisare il suo team e, idealmente, a offrire un’opzione di uscita gratuita, compresa la restituzione del denaro non speso.

“Non vedo alcun inconveniente in tale richiesta”, afferma Brian Levine, direttore generale della cybersecurity di Ernst & Young. “Il fornitore di cloud si adeguerà? Probabilmente no. Probabilmente non ha un processo che stabilisca come poterlo fare. Ai fini del contenzioso, è sempre meglio avere un termine esplicito piuttosto che implicito”.

Rex Booth, CISO di Sailpoint, concorda sul fatto che una clausola del genere non può essere dannosa, ma è soggetta a molte interpretazioni. Un approccio contrattuale migliore, dice, sarebbe quello di includere qualcosa del tipo: “Se la vostra azienda sta cadendo in picchiata, come stabilito da un revisore indipendente, abbiamo il diritto di andarcene”. Booth aggiunge, tuttavia, che i licenziamenti non implicano necessariamente una riduzione degli sforzi organizzativi.

Nuovi grattacapi per la sovranità dei dati

La sovranità dei dati è una questione critica per l’IT da molto tempo, ma ora ci sono problemi specifici per il cloud che molte aziende potrebbero non aspettarsi. A gennaio, per esempio, il Dipartimento del Commercio degli Stati Uniti ha proposto una norma che vieta alle aziende cinesi di addestrare i loro modelli LLM negli ambienti cloud statunitensi [in inglese]. Sebbene, inizialmente, sembrasse un provvedimento che avrebbe avuto un impatto solo sulle aziende cinesi, il principal analyst Forrester, Lee Sustar, sostiene che questo potrebbe facilmente coinvolgere anche le aziende statunitensi, non solo quelle che si occupano di cloud, ma anche i conglomerati che hanno una divisione che svolge attività di analisi per i propri clienti.

Per esempio, che cosa succederebbe se un’azienda cinese ingaggiasse un’azienda americana che si occupa di intelligenza artificiale e la pagasse per addestrare vari LLM nell’ambiente cloud di quest’ultima? Violerebbe delle regole? E che cosa succederebbe se il cliente di questa azienda americana ha sede in Belgio o in Australia? E se il cliente dell’azienda belga fosse un’azienda cinese? Se un’azienda cinese volesse aggirare questa regola, probabilmente elaborerebbe la richiesta attraverso più aziende non cinesi.

“Ora dovrete pianificare i vostri carichi di lavoro nel cloud, cercando di tenere conto non solo del rischio di terzi, ma anche di quello di quarti”, aggiunge.

Levine di EY suggerisce altre considerazioni per quando i CIO negoziano nuovi accordi cloud. Alcune operation fanno pagare un extra per registrare ciò che accade nei loro ambienti. Questo non sarebbe un grosso problema se gli affittuari della nuvola potessero tracciare direttamente le attività. Tuttavia, ciò non è possibile e quindi devono affidarsi ai registri della piattaforma.

“Questo aspetto è fondamentale, e se un’azienda intende essere responsabile [di tutto ciò che accade nel cloud], deve, necessariamente, possedere dei registri. Ma per quanto tempo, questi vengono conservati?”. dice Levine.

Scalabilità in caso di emergenza diffusa

Molti dirigenti IT aziendali pensano che il cloud possa offrire una scalabilità quasi infinita, ma ciò non è matematicamente possibile, contrariamente a ciò che, solitamente, sostiene il marketing.

Nella maggior parte dei casi, l’elasticità della nuvola offre grandi livelli di scalabilità ma, in presenza di un’emergenza, tutti i principi possono venire annullati, osserva Charles Blauner, socio operativo e CISO della società di cybersecurity Team8, ed ex CISO di Citigroup, Deutsche Bank e JP Morgan Chase.

Blauner ricorda i numerosi tentativi falliti di esternalizzare i dati durante l’attacco dell’11 settembre, che ha rivisto, poi, anche durante l’uragano Sandy nel 2012 e ancora nelle prime settimane del COVID negli Stati Uniti. “Funzionerà solo per le prime aziende” che faranno la mossa di spingere più dati nel cloud.

Le imprese si aspettano di potersi “rifugiare in un ambiente cloud durante una crisi”. Ma con l’11 settembre, quando tutti hanno dichiarato un’emergenza nello stesso momento, chi non è stato tra i primi a chiedere aiuto avrà – facilmente – ottenuto in risposta: ‘Siamo al completo’“, aggiunge Blauner.

La soluzione a questo problema, secondo il manager, è che i CIO stabiliscano i loro Minimal Viable Product (MVP) di emergenza. Con questo intende dire che le aziende devono identificare i loro servizi più essenziali – quelli “senza i quali i clienti non possono sopravvivere” – in modo che, quando si verifica una situazione critica, solo essi vengano spostati nel cloud. Se tutte le aziende lo facessero, il settore potrebbe sopravvivere alla crisi successiva.

Quando Blauner lavorava in Citi, per esempio, quel MVP consisteva nel trasferimento di fondi internazionali. “Se non avessimo protetto questo aspetto, avremmo potuto avere un crollo economico globale. Non è possibile effettuare trasferimenti di denaro in Corea del Sud senza Citi”, tiene a precisare. “Per ogni azienda del mondo, c’è una cosa del genere”.

Rischi di sicurezza e inefficienze autoinflitte

Charlie Winckless, senior director analyst del team sulla sicurezza del cloud di Gartner, concorda sul fatto che la scalabilità in caso di crisi è una preoccupazione, ma vede anche come stia prendendo forma una modalità diversa dalla soluzione tipica dei leader IT: coprire le loro scommesse sul cloud siglando accordi con un gran numero di ambienti cloud a livello globale. 

“I CIO credono che utilizzando più fornitori di cloud, possano migliorarne disponibilità, ma non è così. Ciò, al contrario, non fa che aumentare la complessità, che è sempre stata nemica della sicurezza”, spiega Winckless. “È molto più conveniente utilizzare le zone del cloud vendor”.

Le aziende spesso non riescono a sfruttare i vantaggi finanziari e di efficienza promessi dalla nuvola perché non sono disposte a fidarsi dei meccanismi dell’ambiente cloud, o almeno così sostiene Rich Isenberg, partner della società di consulenza McKinsey che supervisiona le sue strategie sulla cybersecurity.

La reazione dell’IT aziendale “è che non si fidano dell’automazione e della tecnologia del cloud. Vogliono che il proprio team gestisca tutto. I cloud includono gli strumenti cloud-nativi e l’automazione, ma [i CIO] continuano a gravitare sull’approccio della vecchia scuola che prevede l’utilizzo del proprio team”, sottolinea Isenberg. Questi dirigenti “dipendono dalle loro squadre che si occupano di sicurezza e di gestione degli accessi, e hanno i loro strumenti preferiti e i loro fornitori preferiti”.

Ciò significa che molti compiti del cloud vengono svolti due volte, e questo è il motivo per cui i vantaggi in termini di efficienza a volte non si concretizzano. La maggior parte dei dirigenti IT “pensa che saranno le grandi violazioni a minacciare il loro posto di lavoro, ma la realtà è che la minaccia è rappresentata dai [dirigenti] che non sono all’avanguardia nella tecnologia digitale”, prosegue il manager. Se “non abbracciano gli strumenti cloud-nativi e l’automazione, allora sì, diventerà il lavoro di qualcun altro”.

Il cloud è anche così integrato in tutti i sistemi aziendali oggi – che si tratti di IaaS, PaaS e SaaS – che una strategia cloud deve essere l’assunto di default. Dice Isenberg: “Ci sei dentro quando lo sai o no, o quando lo vuoi o no”.