Le PMI italiane usano in media 8-12 servizi SaaS (Software as a Service) in modo continuativo: Google Workspace o Microsoft 365, Dropbox o OneDrive, CRM, piattaforma di fatturazione, strumenti di project management, email marketing. I dati aziendali — inclusi quelli dei clienti — sono distribuiti su infrastrutture di terze parti in cloud, spesso in data center fuori dall'Unione Europea.
Il cloud non è intrinsecamente insicuro, ma introduce un modello di sicurezza diverso rispetto all'infrastruttura on-premise: la responsabilità è condivisa tra il provider e il cliente. Il provider garantisce la sicurezza dell'infrastruttura (hardware, rete, data center fisico). Il cliente è responsabile della sicurezza dei propri dati e degli accessi — e qui si concentrano la maggior parte delle violazioni.
Il modello di responsabilità condivisa
| Livello | Responsabilità provider | Responsabilità cliente |
|---|---|---|
| Infrastruttura fisica | Data center, hardware, rete fisica | — |
| Piattaforma / OS | Aggiornamenti sistema, hypervisor | Configurazione OS (IaaS) |
| Applicazione | Software SaaS, patch applicative | Configurazione sicura, dati inseriti |
| Accessi e identità | Infrastruttura di autenticazione | Gestione account, password, MFA |
| Dati | Disponibilità e ridondanza | Classificazione, backup, permessi |
Le minacce principali ai dati in cloud
- Account compromise: la causa numero uno di violazioni cloud è il furto o il riuso di credenziali. Un account Google Workspace o M365 compromesso espone email, documenti, contatti e calendari dell'intera organizzazione.
- Misconfiguration: un bucket S3 lasciato pubblico, un Google Drive condiviso con "chiunque abbia il link", permessi troppo ampi su un CRM — errori di configurazione che espongono dati senza che nessuno se ne accorga.
- Shadow IT: dipendenti che usano servizi SaaS non approvati per lavorare, portando dati aziendali su piattaforme non valutate dal punto di vista della sicurezza e della conformità GDPR.
- Insider threat: dipendenti che esportano dati prima di lasciare l'azienda, o che accedono a informazioni per le quali non hanno autorizzazione.
Best practice per la sicurezza cloud nelle PMI
- MFA su tutti gli account cloud: priorità assoluta. Un account con MFA attivo è enormemente più difficile da compromettere anche con le credenziali rubate.
- Single Sign-On (SSO): centralizzare l'autenticazione su un Identity Provider riduce la superficie di attacco e semplifica la revoca degli accessi quando un dipendente lascia l'azienda.
- Principio del minimo privilegio: ogni utente deve avere accesso solo ai dati e alle funzionalità strettamente necessarie al proprio ruolo.
- Offboarding strutturato: quando un dipendente lascia l'azienda, la revoca immediata di tutti gli accessi cloud deve far parte di una procedura codificata.
- Audit periodici dei permessi: verificare regolarmente chi ha accesso a cosa, rimuovendo account e permessi non più necessari.
- Backup indipendente dei dati SaaS: i provider SaaS non garantiscono il ripristino dei dati cancellati accidentalmente oltre un certo periodo. Un backup indipendente su storage separato è fondamentale per dati critici.
- Localizzazione dei dati e GDPR: verificare dove risiedono i dati del servizio SaaS e se il contratto include le garanzie richieste dal GDPR per il trasferimento di dati extra-UE.
Per le aziende che sviluppano applicazioni web integrate con servizi cloud, NEO WEB progetta architetture sicure con gestione corretta degli accessi, cifratura dei dati sensibili e conformità GDPR. Contattaci per una valutazione della tua postura di sicurezza cloud.
