Nel mondo attuale, molte organizzazioni si trovano a dipendere sempre più dai servizi cloud per alimentare l’innovazione e migliorare l’efficienza operativa. Con l’aumento dell’utilizzo dell’intelligenza artificiale (AI) nei carichi di lavoro basati su cloud, è fondamentale che le strategie AI delle aziende siano strettamente correlate alla sicurezza e alla disponibilità di questi servizi. Tuttavia, come osserva John Bruce, Chief Information Security Officer (CISO) di Quorum Cyber, le aziende devono affrontare una sfida persistente: come allineare il contratto di servizio (SLA) del fornitore di cloud alle loro esigenze di sicurezza e disponibilità.
Le sfide degli SLA nel cloud
Aditya Sood, Vice Presidente della sicurezza ingegneristica e della strategia AI presso Aryaka, sottolinea che, sebbene gli SLA di solito includano metriche come il tempo di attività, i tempi di risposta del supporto e le prestazioni del servizio, spesso trascurano elementi critici come la protezione dei dati, la risposta alle violazioni e la conformità normativa.
Questa lacuna di responsabilità può portare a gravi problemi, poiché i clienti possono erroneamente assumere che le garanzie dell’SLA del fornitore coprano la protezione dei dati, solo per scoprire che le loro stesse configurazioni errate o pratiche di gestione delle identità deboli hanno causato una violazione dei dati.
“Le organizzazioni possono credere erroneamente che il loro fornitore gestisca più di quanto effettivamente faccia, aumentando i rischi di non conformità, incidenti di sicurezza e interruzioni operative,” afferma Sood. Pertanto, è cruciale che i decisori IT considerino attentamente le differenze tra gli impegni SLA e le responsabilità di sicurezza condivise per massimizzare i vantaggi dei servizi cloud senza compromettere la loro resilienza o le obbligazioni normative.
Il divario di responsabilità
Secondo Bruce, il disallineamento degli SLA con i requisiti IT aziendali è più comune di quanto molti leader credano.
Che si tratti di una piattaforma AI all’avanguardia di una startup, di un software specializzato come servizio (SaaS) con garanzie di sicurezza limitate, o di fornitori di cloud affermati i cui SLA standard non soddisfano i requisiti normativi, la discrepanza tra ciò che i fornitori offrono e ciò di cui le aziende hanno bisogno può essere sostanziale.
Invece di scartare automaticamente i fornitori con SLA inadeguati, Bruce sottolinea che i CISO lungimiranti stanno sviluppando approcci strutturati per valutare e mitigare queste lacune. L’ecosistema cloud moderno è complesso e, mentre i principali fornitori come AWS, Microsoft Azure e Google Cloud hanno migliorato notevolmente le loro offerte di sicurezza e SLA, la varietà di fornitori specializzati può complicare ulteriormente le scelte.
L’innovazione e le sue insidie
Bruce menziona il paradosso dell’innovazione, dove una promettente piattaforma AI o di machine learning offre capacità rivoluzionarie ma presenta solo garanzie di sicurezza di base e impegni di uptime del 99,5% quando l’organizzazione richiede una disponibilità del 99,99%. Sebbene un SLA possa garantire la sicurezza del cloud, evidenziando l’uptime e la resilienza dell’infrastruttura sottostante, non copre esplicitamente le responsabilità di sicurezza del cliente.
È importante notare che anche se un SLA promette un uptime del 99,99% per l’infrastruttura del fornitore, le configurazioni errate del cliente, la gestione delle identità debole o le applicazioni non aggiornate possono comunque portare a violazioni dei dati o interruzioni del servizio. Inoltre, Bruce fa riferimento a un altro aspetto critico: il “divario di conformità”, dove un fornitore SaaS offre funzionalità essenziali, ma le sue capacità di residenza dei dati, crittografia o registrazione audit non soddisfano i requisiti normativi dell’organizzazione.
Modello di responsabilità condivisa
Sood raccomanda di adottare un modello di responsabilità condivisa (SRM), che gioca un ruolo centrale nel definire come le responsabilità di sicurezza e operative sono suddivise tra i fornitori di cloud e i loro clienti. Questo modello influisce direttamente sulla sicurezza e disponibilità adeguate che l’azienda sperimenta, rendendo le pratiche di sicurezza a livello cliente fondamentali per realizzare il valore completo di qualsiasi SLA cloud.
La gestione delle responsabilità IT non è l’unico aspetto da considerare; i leader IT devono anche prestare attenzione all’uso di servizi a valore aggiunto forniti su piattaforme cloud pubbliche. Bill McCluggage, ex direttore della strategia IT e delle politiche presso il Cabinet Office, avverte che meno dell’1% dei clienti cambia fornitore di cloud annualmente, a causa di costi di uscita poco chiari e accordi vincolanti.
Prepararsi per il futuro
Il panorama dei servizi cloud continuerà a evolversi, con nuovi fornitori che offrono capacità allettanti insieme a garanzie di sicurezza variabili. Bruce di Quorum Cyber avverte che tentare di eliminare tutte le lacune SLA significherebbe rinunciare a tecnologie potenzialmente trasformative. I CISO di successo devono sviluppare quadri per prendere decisioni informate sui rischi, consentendo l’innovazione mantenendo controlli adeguati.
Aditya Sood, Vice Presidente della sicurezza ingegneristica e della strategia AI presso Aryaka, sottolinea che, sebbene gli SLA di solito includano metriche come il tempo di attività, i tempi di risposta del supporto e le prestazioni del servizio, spesso trascurano elementi critici come la protezione dei dati, la risposta alle violazioni e la conformità normativa. Questa lacuna di responsabilità può portare a gravi problemi, poiché i clienti possono erroneamente assumere che le garanzie dell’SLA del fornitore coprano la protezione dei dati, solo per scoprire che le loro stesse configurazioni errate o pratiche di gestione delle identità deboli hanno causato una violazione dei dati.0
