Charity Digital – Argomenti – Il tuo cloud è sicuro?

Gli enti di beneficenza che esaminano la sicurezza informatica al fine di ottenere la certificazione per lo schema governativo, Cyber ​​​​Essentials, spesso iniziano a farsi strada attraverso il Strumento di preparazione per Cyber ​​Essentials.

Sviluppato da IASME per conto del National Cyber ​​Security Center, il Readiness Tool è uno strumento online gratuito accessibile sotto forma di una serie di domande interattive sul sito web di IASME. Il processo di elaborazione delle domande ti informerà sul livello di sicurezza informatica del tuo ente di beneficenza e su quali aspetti devi concentrarti.

Sulla base delle tue risposte, sarai indirizzato verso una guida scritta in un inglese semplice e, alla fine del processo, ti verrà presentato un piano d’azione su misura e una guida dettagliata per i tuoi prossimi passi verso la certificazione.

Quando si analizzano i dati dal Cyber ​​Essential Readiness Tool, molti enti di beneficenza sono sulla buona strada per implementare tutti e cinque i controlli. Ma ci sono alcuni punti deboli specifici che stanno creando ostacoli all’ottenimento della certificazione. Uno di questi è l’accordo di sicurezza della “responsabilità condivisa” per i servizi cloud. Solo il 48,9% degli enti di beneficenza che hanno utilizzato Readiness Tool ha capito cosa significa.

In questo articolo, discuteremo le basi dei servizi cloud, la sicurezza di tali servizi e chi è responsabile della sicurezza.

I servizi cloud non sono sicuri per impostazione predefinita

I cinque controlli principali di Cyber ​​Essentials aiuteranno a proteggere i dati e i servizi della tua organizzazione di beneficenza dalla maggior parte dei comuni attacchi informatici. I cinque controlli devono essere applicati anche a tutti i servizi cloud.

Perchè è questo? Sicuramente possiamo fare affidamento su Google, Microsoft, Amazon o chiunque sia il provider di servizi cloud per occuparsi della sicurezza? Molti fornitori di servizi cloud garantiscono che i controlli di sicurezza siano in atto, ma spesso l’utente deve impostare alcuni dei controlli da solo.

Pensala in questo modo, quando ti registri per un account di social media, è possibile accedere e iniziare immediatamente a pubblicare “qualunque cosa ti venga in mente”. La maggior parte dei siti di social media è progettata per ottimizzare l’apertura per incoraggiare il social networking e avrà automaticamente la massima condivisione come impostazione predefinita.

Ciò significa che prima di pubblicare qualsiasi informazione o immagine, sarebbe saggio cercare il modo in cui funzionano le impostazioni per decidere il livello di privacy appropriato per te.

In modo simile, quando ti iscrivi a un servizio cloud, hai la responsabilità dell’impostazione tecnica, comprese le impostazioni di sicurezza del servizio. Non dipende tutto dal provider. Se non lo fai, potresti avere poca o nessuna sicurezza, il che è una novità per molte persone.

Sapevi che il primo account configurato per impostazione predefinita su Microsoft 365 è un amministratore globale? Questi account avranno il pieno potere di configurare e modificare le impostazioni e i controlli di tutto nell’account della tua organizzazione.

Se questo account viene configurato senza i necessari controlli di sicurezza e quindi violato, un utente malintenzionato potrebbe accedere all’intero sistema ed eventualmente portare tutti i dati fuori dall’organizzazione. Questo potrebbe spazzare via completamente un ente di beneficenza.

Gli enormi pannelli di controllo all’interno dell’interfaccia di amministrazione per un servizio cloud in Microsoft o Google possono essere una prospettiva scoraggiante e chiunque crei account dovrà impostare assegnazioni di ruoli, gruppi e autorizzazioni per ciascun account, nonché password e autenticazione a più fattori.

Questo è lo stesso sia che tu sia una grande impresa o un micro ente di beneficenza e quindi una guida esperta nella configurazione di queste impostazioni potrebbe essere necessaria.

I piccoli enti di beneficenza che non hanno configurato completamente o correttamente i loro account di servizi cloud possono essere facili prede per gli aggressori e questo li rende ad alto rischio per i donatori, i contratti di finanziamento e le catene di approvvigionamento.

Fai i tuoi compiti

Quando si parla di sicurezza, i fornitori di servizi cloud fanno spesso riferimento a un “modello di responsabilità condivisa”. Ciò significa che per alcuni controlli di sicurezza, è il provider di servizi cloud a essere responsabile dell’implementazione, mentre per altre funzionalità è l’organizzazione dell’utente (il tuo ente di beneficenza). Chi implementa quali controlli varierà in base alla progettazione del servizio cloud a cui si è abbonati.

Lavorare con un provider di servizi cloud può essere sconosciuto e nuovo per alcuni enti di beneficenza ed è utile delineare fin dall’inizio dove si trova il confine tra le responsabilità di sicurezza del provider di servizi cloud e quelle del tuo ente di beneficenza.

Ogni provider e ogni servizio avrà diversi modelli di sicurezza, diversi strumenti per garantire la sicurezza, diversi parametri di configurazione, diversi dashboard e diversi punti di contatto.

Il direttore dell’ente di beneficenza o il responsabile IT dovrebbe fare riferimento ai propri accordi sul livello di servizio (di solito all’interno dei caratteri piccoli a cui ti iscrivi al momento dell’acquisto del servizio) e chiarire qualsiasi confusione con il fornitore quando necessario per garantire una strategia di sicurezza di successo.

Comprendere e documentare la tua responsabilità per i controlli di sicurezza per ciascuno dei tuoi fornitori di servizi cloud è importante. È una buona idea tenere a mente la sicurezza quando si ricerca un prodotto di servizi cloud in primo luogo e documentare un punto di contatto con nome per aiutare e supportare il tuo ente di beneficenza in caso di difficoltà.

Garantire la sicurezza del cloud

Con sicurezza in loco 24 ore su 24, 7 giorni su 7, crittografia avanzata, backup sicuri e server protetti da firewall, la maggior parte dei provider di servizi cloud ha investito in funzionalità di sicurezza che non potresti mai eguagliare se utilizzassi i tuoi server. Vale la pena ricordare, tuttavia, che non tutti i fornitori di servizi cloud comprendono o apprezzano la sicurezza.

È essenziale che voi ricercare i controlli di sicurezza utilizzati dal provider di servizi cloud prima di affidare i dati dell’organizzazione a quel servizio. Hai verificato le funzionalità di sicurezza della piattaforma che stai utilizzando?

A cosa dovresti prestare attenzione?

Dovresti iniziare cercando quanto segue:

  • La posizione dei server nel “cloud” che contengono i tuoi dati. Questa è la posizione legale dei dati e, se si tratta di “dati personali”, potresti violare le normative GDPR se si trovano al di fuori del Regno Unito o dell’Unione Europea
  • Un provider di servizi cloud che ha la possibilità di abilitare l’autenticazione a più fattori per accedere a tutti gli account
  • I data center che contengono i dati della tua organizzazione. Questi dovrebbero contenere uno standard di sicurezza riconosciuto a livello internazionale come ISO 27001

Nei requisiti Cyber ​​Essentials, specifica che laddove il provider cloud implementa un controllo, è tua responsabilità accertarti che ciò sia stato eseguito secondo lo standard richiesto.

I dettagli sull’attuazione di questi controlli sono generalmente riportati nei termini e nelle condizioni del servizio. Cerca all’interno delle clausole contrattuali o nei documenti a cui fa riferimento il contratto, come le dichiarazioni di sicurezza o le dichiarazioni sulla privacy. I fornitori di servizi cloud spiegheranno spesso come implementano la sicurezza nei documenti pubblicati nei loro centri di fiducia.

Le disposizioni di sicurezza di un provider cloud sono talvolta documentate in modo esplicito; Per esempio,Microsoft AzureeAWSdocumentare le responsabilità condivise e se il fornitore o il cliente è responsabile degli aspetti delle operazioni e della gestione della sicurezza.

Con fornitori più piccoli o prodotti Software as a Service, tuttavia, questi dettagli potrebbero essere meno espliciti, ma dovranno comunque essere presi in considerazione.

Comprendere la tua responsabilità di sicurezza

Negli ultimi tre anni il settore della sicurezza informatica è cresciuto in modo esponenziale e di conseguenza il personale IT e di sicurezza informatica scarseggia. L’esperienza interna o esternalizzata applicata alla tua specifica configurazione è un fattore di sicurezza cruciale. Gli enti di beneficenza possono avvalersi di esperti interni, consulenti esterni e fornitori di terze parti, ma vale la pena notare che spesso è necessario un consulente per la sicurezza informatica oltre al supporto IT.

Gli enti di beneficenza possono contattare uno deiOrganismi di certificazione Cyber ​​Essentialsche si trovano nel Regno Unito e Crown Dependencies per consigli sulla sicurezza informatica. Questi esperti sono formati e autorizzati a certificare contro Cyber ​​Essentials e possono offrire servizi di consulenza.

Leave a Comment

Your email address will not be published. Required fields are marked *