Cloud privato.

Conformità e sicurezza con i tuoi servizi ospitati 'in casa'.

Una delle domande che tanta gente ci chiede è:

E’ una cattiva idea salvare documenti aziendali su Dropbox?

Oppure: Va bene memorizzare i dati della mia organizzazione su servizi Saas di tipo ‘cosumer’ come Dropbox, Google Drive o Microsoft Office 365? Ci sono molte ragioni per le quali non dovremmo usare questi strumenti per condividere e memorizzare i nostri dati aziendali (o privati) – di seguito una panoramica delle motivazioni che consideriamo più importanti.

Nessun controllo sull’accesso ai dati

Quando condividiamo un link via email verso un Saas pubblico (come ad esempio Dropbox), ogni persona che può vedere o mettere mano a questo link, può potenzialmente accedere al file o ai dati che abbiamo condiviso. Se un’email con un link pubblico ad uno di questi cloud Saas è intercettata o inoltrata, noi non abbiamo più nessun controllo su chi può vedere i dati che abbiamo condiviso tramite collegamento. Con il File Access Control di Nextcloud, possiamo essere sicuri che la rosa di indirizzi IP al di fuori della nostra rete aziendale, non possa avere accesso a files o cartelle se non vogliamo che queste vengano condivise con terze parti.  Il punto chiave è: gli amministratori di rete non hanno più il controllo. Al contrario i collaboratori e gli impiegati si. Questo è un grosso problema di responsabilità legale, anche se ci fidiamo completamente dei nostri collaboratori, se rispettiamo in modo scrupoloso le policy aziendali ed agiamo al 100% in modo responsabile riguardo la sicurezza (ad esempio adottando password complesse).

Dove sono i nostri dati?

Quando ci preoccupiamo della privacy degli utenti, o semplicemente vogliamo mantenere requisiti di conformità, è essenziale conoscere per poter scegliere dove andiamo a memorizzare i nostri dati. Questo è estremamente importante soprattutto in Europa, per esempio, dove tutte le aziende che trattano dati che possono identificare una persona, devono essere conformi al GDPR a partire dal mese di maggio del 2018. Le sanzioni per ciascun incidente possono raggiungere i 20 milioni o il 4% degli utili aziendali annuali.

Quando dobbiamo decidere dove salvare i nostri dati, scegliere un’azienda basandosi solo sulla sua sede legale non è sufficiente. Infatti quello che conta sono anche le dislocazioni geografiche dei server. E dobbiamo poter scegliere bene perchè in alcune nazioni, i relativi governi possono ordinare l’accesso ai dati su tutti i server collocati nel loro territorio. Per esempio, un’azienda americana potrebbe avere i propri server collocati in Cina, dove i data center sono molto economici, senza l’obbligo di comunicarci questo dato. Il governo cinese potrebbe quindi far valere il proprio potere sulla società americana a causa di filiali nel suo paese, facendo rispettare le sue politiche, incluso l’accesso ai dati dei server per svairati motivi come lo spionaggio industriale.

In questi casi, potremmo infrangere le regole e la conformità senza nemmeno esserne a conoscenza e arrivare ad essere anche sanzionati. E’ possibile approfondire l’argomento sulla conformità di Nextcloud al GDPR qui.

Un singolo punto di rottura

Tante aziende, usano lo storage on-line fornito da alcune grosse multinazionali. Questo significa che un sacco di dati importanti sono concentrati su server di poche grosse società. Questi in gergo sono chiamati “single points of failure” (singoli punti di rottura). Naturalmente questi server sono uno dei bersagli più ambiti da hackers o attackers di ogni tipo. E se una di queste grosse società viene ‘bucata’, tutte le persone e le aziende che dipendono dai suoi servizi devono metterne in conto le conseguenze.

Anche se i team dedicati alla security di queste grosse società sono molto competenti e preparati, questi avranno a che fare con un crescente numero di attacchi, man mano che i server aumentano il potenziale valore che custodiscono. Al contrario, gestendo internamente alla nostra azienda tutta o parte dell’infrastruttura, come ad esempio è possibile fare con Nextcloud, riduciamo di parecchio il rischio di essere compromessi da attacchi hacker: un grande vantaggio della decentralizzazione dei dati, esattamente il principio con cui è stato progettato Internet.

E la decentralizzazione ha altri benefici.  more benefit. Ci sono un sacco di server Nextcloud utilizzati nel mondo e ciascuno con le sue protezioni progettate per adattarsi alle differenti situazioni. Il Bundescloud del Governo Federale Tedesco è isolato e protetto da un potente sistema firewall e tutte le installazioni Nextcloud possono adottare questi livelli di sicurezza – e buona fortuna se volessimo adottare questo tipo di approccio con un cloud pubblico come Dropbox, Google Drive o MS Office 365! La città di Ginevra usa una sofisticata rete di reverse proxy per controllare esattamente quali delle funzionalità di Nextcloud possono usare gli utenti esterni – niente passa all’esterno che non sia esplicitamente consentito in precedenza dai responsabili IT.

Perciò, una soluzione di tipo self-hosted (cioè installata in azienda ma con erogazione di servizi cloud) è molto più sicura rispetto ad un corrispondente servizio ospitato su cloud pubblico, semplicemente perchè con la prima è possibile restringere l’accesso ad una rosa di indirizzi IP conosciuti e perchè ogni server può essere dotato di altre protezioni dedicate. La sicurezza complessiva è molto più elevata diversificando e distribuendo in rete le risorse.

Non sappiamo quando siamo violati

In informatica, qualsiasi cosa può essere violata, sia attraverso lo sfruttamento di falle di sicurezza sia con azioni di phishing email mirate. Nonostante i nostri sforzi nello scegliere il migliore sistema di storage on-line, possiamo prima o poi subire una violazione. In questo caso, è essenziale conoscere il prima possibile il verificarsi dell’evento, in modo da organizzarci e rispondere immediatamente per limitare i danno.

Le grandi multinazionali non sono molto famose nell’avvisare i propri clienti successivamente ad una violazione (hacking) e – appena possono -evitano accuratamente di farlo. Sperano infatti che l’evento passi inosservato in modo da mantenere la fiducia (e i soldi) dei loro clienti, come è già capitato altre volte in passato. Il solo modo di rimanere protetti da incursioni ripetute sui propri dati è quello di avere il completo controllo sull’infrastruttura e sui server ed essere quindi in grado di monitorare cosa succede ai propri dati.

Non sappiamo cosa succede ai dati

Quando ci affidiamo a software proprietario, è molto difficile sapere con esattezza cosa questo software faccia sui nostri dati. Potemmo fare girare utility di tipo spyware sui computer aziendali o il servizio che gestisce i nostri dati potrebbe contenere delle back doors. Immaginiamo di avere un nostro armadietto di sicurezza in una palestra con le relative chiavi. Ora immaginiamo che il proprietario della palestra abbia una chiave ‘master’ che può aprire tutti gli armadietti. E’ la stessa cosa con le back doors: la società o il servizio cui affidiamo i nostri dati potrebbe nascondere un modo per accedere ai nostri dati privati e confidenziali proprio nel servizio che ci sta erogando.

Naturalmente questa non è la regola – ci sono molti modi di offrire servizi di storage gratuiti senza vendere i dati degli utenti. In ogni caso, è un fatto che alcune grosse aziende, incluse quelle che offrono servizi Saas su cloud pubblici, siano anche nel business della vendita dei dati e noi preferiamo evitare questi servizi quando si tratta dei nostri dati o di quelli dei nostri clienti.

E’ tutto nel controllo

Per finire, è tutto nel controllo. Con i servizi Saas pubblici, non ne abbiamo molto. Promesse certo, e anche certificazioni. Ma nessuna garanzia. Il self-hosting (sia nel proprio datacenter o sulla rete locale) continua ad essere il modo più elegante di rimanere in perfetto controllo sui dati aziendali critici e sensibili e Nextcloud fornisce esattamente questo.

Hai bisogno di
sicurezza al 100%

Inviare documenti e dati via e-mail o usando piattaforme di condivisione SaaS pubbliche (come Gdrive o Dropbox), non garantisce in nessun modo una adeguata sicurezza per i dati sensibili e personali.

L’encryption è spesso complicato e macchinoso da usare e riduce la produttività ed efficienza di collaboratori e dipendenti oltre ad introdurre errori.

Mantenere i dati in infrastrutture di proprietà o su un cloud privato e realmente fidato, significa mantenere il controllo.

Solo in questo modo è possibile mostrare e garantire la reale collocazione dei dati personali ai propri clienti o utenti. I responsabili della qualità e del controllo hanno la garanzia di non-conformità relative ai processi di trattamento ridotte al minimo.

I sistemi basati su SaaS
sono soluzioni rischiose

La maggior parte delle soluzioni di tipo ‘consumer’ come Dropbox o Office 365, non sono state progettate con criteri relativi a normative privacy e sicurezza, e trattano indifferentemente dati di tipo casalingo o di tipo aziendale e sensibile allo stesso modo, distribuendo enormi quantità di documenti in svariati data center in tutto il globo.

Come se non bastasse, i carichi e i dati presenti in questi data center, possono essere processati da fornitori di servizi cloud che sono soggetti a leggi fuori dal territorio europeo (ad esempio il US CLOUD ACT).

Questo significa che i tuoi dati possono essere completamente aperti e visionati semplicemente dietro un ordine di un qualsiasi ufficiale US, spesso senza che tu ne riceva notizia.