Cos'è il modello di responsabilità condivisa nel cloud computing?

Il modello di responsabilità condivisa delinea i doveri di sicurezza specificando i diritti e le responsabilità sia del fornitore di servizi cloud che del cliente. In sostanza, chiarisce chi è responsabile di ciascun aspetto della sicurezza per garantire una protezione efficace dell'ambiente cloud. Le specifiche di questa divisione sono leggermente diverse a seconda del modello di servizio (SaaS, PaaS, IaaS).

Le differenze tra i tre modelli includono:

• SaaS (Software-as-a-Service): Il fornitore gestisce l'infrastruttura sottostante, l'applicazione e i dati, mentre il cliente è responsabile dell'accesso utente e della classificazione dei dati.
• PaaS (Platform-as-a-Service): Il fornitore è responsabile del sistema di supporto, inclusi i servizi Web, il sistema operativo, ecc., mentre il cliente è responsabile di tutte le applicazioni e i dati.
• IaaS (Infrastructure-as-a-Service): Il fornitore controlla il livello fisico mentre il cliente controlla le applicazioni, i sistemi operativi e i dati.

Ecco le responsabilità dettagliate dei fornitori SaaS:

• Sicurezza fisica: Proteggere i data center e l'hardware.
• Sicurezza di rete: Protezione contro le minacce poste da accessi non autorizzati o attacchi informatici.
• Sicurezza delle applicazioni: Aggiornamento del software per correggere debolezze di sicurezza o bug per prevenire violazioni
• Sicurezza dei dati: Crittografia dei dati sia quando sono archiviati che durante la trasmissione, e assicurarsi che ci siano backup o ripristino di emergenza.
• Sicurezza operativa: Rilevamento delle minacce e risposta agli eventi di sicurezza.

Il cliente SaaS dovrebbe considerare:

• Sicurezza del dispositivo: Protezione del dispositivo utilizzato per accedere all'applicazione SaaS.
• Gestione degli accessi: Gestione delle giuste limitazioni degli utenti e della loro capacità di accedere a un'applicazione, delle procedure per verificare la loro identità e dell'autorizzazione ad accedere all'applicazione.
• Formazione sulla consapevolezza della sicurezza: Formazione dei dipendenti sulle misure di sicurezza e sui rischi di phishing.
• Classificazione dei dati: Identificazione dei dati sensibili e implementazione di misure per proteggerli.
• Risposta agli incidenti: Avere un piano di emergenza su come gestire le minacce alla sicurezza.

Le organizzazioni e i fornitori e provider di Software as a Service dovrebbero:

1. Rivedi regolarmente la documentazione e le certificazioni sulla sicurezza del fornitore SaaS documentazione e certificazioni sulla sicurezza: Informarsi sulle loro pratiche di sicurezza e assicurarsi che soddisfino gli standard della propria organizzazione.
2. Stabilisci chiari canali di comunicazione: Mantieni una comunicazione chiara con il tuo fornitore SaaS per discutere di problemi di sicurezza, segnalare eventuali problemi e rimanere aggiornato sulle modifiche alla sicurezza.
3. Partecipa a programmi di sensibilizzazione sulla sicurezza: Incoraggia i tuoi dipendenti a seguire la formazione sulla sicurezza fornita dal provider SaaS.
4. Conduci valutazioni congiunte sulla sicurezza: Collaborare per identificare e ridurre i rischi nell'ambiente condiviso.
5. Stabilire un Service Level Agreement (SLA): Stabilire i requisiti di sicurezza e i doveri in un documento contrattuale firmato da entrambe le parti.