L’adozione di infrastrutture informatiche basate sul cloud per la pubblica amministrazione italiana è un tema di assoluta attualità. Sono in programma importanti investimenti attraverso il PNRR: lo stanziamento per queste tecnologie è di circa 1 miliardo di euro, su un totale di oltre sei destinati alla digitalizzazione della PA. Nei prossimi anni l’obiettivo del Governo sarà quello di dotare la pubblica amministrazione di tutte le tecnologie necessarie per renderla più efficiente, a partire dall’adozione di ambienti cloud e multi-cloud.
In molti casi il multi-cloud è un approccio intelligente per la PA, in quanto consente ai responsabili informatici di scegliere la piattaforma cloud e l’ambiente IT più adatti per il lavoro che dovranno fare. In teoria questa soluzione è sì ideale per sostenere le attività della pubblica amministrazione, ma può anche amplificare l’effetto negativo di politiche di sicurezza inadeguate o applicazioni incoerenti delle stesse. Se gli ambienti multi-cloud sono gestiti e protetti in modo improprio, le cattive pratiche di sicurezza e il loro impatto diventano difficili da tracciare in ogni ambiente, creando vulnerabilità, aumentando il rischio e rendendo complesso il recupero dei dati da un incidente informatico.
La PA deve prendere le giuste misure per rendere sicuro l’approccio al multi-cloud. Si deve partire assicurando un’applicazione coerente delle politiche di sicurezza standard, implementando una solida strategia di protezione dei dati e continuando a formare il personale in modo continuo, sensibilizzandolo sul tema della sicurezza.
Pratiche di sicurezza coerenti
Per promuovere una sicurezza multi-cloud in tutta la pubblica amministrazione, ogni singola struttura deve adottare buone pratiche di sicurezza informatica di base e di cyber-hygiene. Qualsiasi lacuna risulterà amplificata negli ambienti cloud. Questo significa uniformare le pratiche di base di crittografia, autenticazione a più fattori e backup dei dati: politiche che possono sembrare ovvie, ma troppo spesso non sono implementate in modo coerente. E per le strutture con più cloud, la coerenza è la chiave.
Fondamentale anche la consapevolezza dei dipendenti della pubblica amministrazione sulle questioni che riguardano la sicurezza. Se da un lato i dipendenti possono beneficiare dei vantaggi del multi-cloud, dall’altro questi dovrebbero anche essere istruiti su come e dove entra in gioco la sicurezza e sul loro ruolo nel mantenerla. Questo significa consapevolezza di come errati comportamenti – dall’uso di dispositivi personali per il lavoro amministrativo all’uso di password scadenti – possono creare delle falle sfruttabili da criminali informatici, più difficili da contenere in ambienti multi-cloud.
Data Strategy sostenibili
Strategie di backup affidabili sono fondamentali in un mondo multi-cloud. Ogni struttura della PA dovrebbe implementare e seguire un approccio alla protezione dei dati coerente, semplice e facilmente comprensibile. Una strategia facile da seguire e ricordare è la regola del 3-2-1-1-0, dove ogni numero rappresenta un punto cruciale della strategia di backup.
Il primo significa che bisogna almeno avere e mantenere 3 copie dei dati, anche se è possibile che alla fine ce ne ci siano più di 3 (di alcuni dati critici si possono avere anche 4 o 5 copie). Di conseguenza, anche se due venissero distrutte, i dati sarebbero ancora protetti attraverso le altre copie. I dati delle 3 copie dovrebbero essere alloggiati su 2 diversi tipi di supporto. Una copia, inoltre, dovrebbe essere conservata fuori sede, lontano dal luogo fisico in cui si trovano i dati e il backup primario. Questa copia è importante in caso di disastro naturale o di una emergenza che può coinvolgere più di un edificio. Una copia, inoltre, dovrebbe essere immutabile, offline o air-gapped. Per questa dovrebbe essere utilizzato un tipo di media che non può essere alterato. Nella realtà è possibile che alcune minacce rimangano nei sistemi per mesi – anche anni – prima di essere identificate. Se degli hacker dovessero intenzionalmente manomettere le informazioni, la copia immutabile consentirà sempre di accedere a dati sicuri per ripristinare il sistema. L’ultimo numero, lo “0”, indica che non ci dovrebbero essere sorprese assicurando la recuperabilità. La verifica automatizzata del recovery come parte del processo di acquisizione dei dati di backup è la garanzia che in caso di necessità il sistema funzioni senza intoppi.
Ridurre le possibilità di attacco attraverso la formazione dei dipendenti
Come accennato in precedenza, i dipendenti giocano un ruolo importante nelle politiche di sicurezza. Quando i dipendenti lavorano da casa, e il lavoro e la vita personale si mescolano, anche la sicurezza diventa sfocata. Il data mining è una minaccia importante e si crea quando i dati di lavoro sono accessibili su dispositivi personali e le attività personali sono completate sul computer di lavoro.
La formazione del personale dovrebbe includere la consapevolezza di come identificare le minacce potenziali, i promemoria per installare gli aggiornamenti del software e la guida per fermare il data mining. I dipendenti dovrebbero sapere come appaiono gli attacchi di malware, phishing o ransomware sui loro dispositivi personali e di lavoro, e dovrebbero capire come si inseriscono nel puzzle della sicurezza. Anche senza rivolgersi agli utenti, gli uffici della PA aprono delle porte per hacker e affini.
I dati in possesso dell’amministrazione pubblica sono troppo preziosi e sensibili per essere persi. Le informazioni dei dipendenti, i rapporti ufficiali e le informazioni riservate possono essere più vulnerabili o più sicure in ambienti multi-cloud, a seconda delle misure di sicurezza adottate fin dall’inizio: basi di sicurezza coerenti, una forte strategia di backup e la formazione dei dipendenti.
L’infrastruttura multi-cloud affronta molte sfide e può essere una soluzione ideale per la PA. Con le giuste strategie e una forza lavoro informata, gli ambienti multi-cloud possono essere gestibili e sicuri, aprendo la strada verso una amministrazione moderna ed efficiente.