jump to navigation

Self-Assessment per la migrazione verso i servizi ‘in the cloud’ sabato 9 febbraio 2013

Posted by andy in tecnologia.
Tags: , , , ,
add a comment

Attraverso il CSA – Italy Chapter, sono venuto a conoscenza di uno strumento messo on-line da Microsoft per valutare il proprio stato di preparazione ad accedere al cloud

Descrizione dello strumento

Il sito http://technet.microsoft.com/en-us/security/jj554736 offre uno strumento web-based di self-assessment per valutare sia il gap esistente rispetto alle normative prese a riferimento, sia i vantaggi derivanti da una migrazione verso servizi cloud-based.
In particolare lo strumento si definsce come un Cloud Security Readiness Tool for Cloud Adoption, e quindi specificamente orientato a valutare gli aspetti inerenti la sicurezza delle informazioni.
Lo scopo, così come traspare intuitivamente già al primo accesso, è quello di fornire alle organizzazioni non ‘cloud-aware‘ uno strumento semplice ed intuitivo per valutare la prorpia situazione ed i vantaggi che il cloud può offrire.
L’interfaccia consiste in un unico form da compilare, diviso in una sezione iniziale di informazioni generali per inquadrare la dimensione e la tipologia dell’organizzazione, ed una seconda specifica per il self-assessment, composta da 27 quesiti.
Una volta compilato il form, viene richiesta una semplice registrazione (basta un indirizzo di e-mail, senza fornire ulteriori informazioni) per poter scaricare il documento di assessment prodotto; la registrazione consente inoltre di tornare a rivedere, correggere e modificare le proprie valutazioni per aggiornare il rapporto.

Metodo di valutazione

Per quanto riguarrda il metodo di valutazione, ho valutato due casi ragionevolmente ai limiti in Europa (un’organizzazione governativa con parecchie migliaia di PC, e una di produzione con pochissimi PC), e per entrambe ho compiilato il form fornendo la configurazione e quella migliore.

Pro

  • semplicità d’uso: le informazioni generali richieste per la categorizzazione dell’utilizzatore sono veramente poche e chiare; anche i quesiti per l’assessment sono molto semplici e chiari, e le risposte possibili (quattro) consentono di inquadrare molto facilmente il contesto effettivamente in essere presso la propria realtà;
  • semplicità di registrazione e non invasività della propria privacy;
  • il report è ben schematizzato, sintetico e chiaro;
  • può essere un interessante strumento per iniziare ad approcciare in poco tempo il tema del cloud e della possibilità di valutare la possibilità di appoggiarvi alcuni servizi;
  • lo strumento consente di salvare più analisi, con la possibilità di modificarle e riesaminarle in momenti successivi;
  • lo strumento non è di parte, nel senso che non evidenzia vantaggi e specificità dell’offerta del realizzatore.

Contro

  • Lingua: al momento il sito è soltanto in lingua inglese, così come il report generato; questo potrebbe costituire un fattore limitante soprattutto per le piccole imprese;
  • Tipologia di servizi cloud: al momento, lo strumento offre come unica scelta l’opzione SaaS; le opzioni IaaS e PaaS sono indicate ma non selezionabili;
  • Il report è forse un po’ troppo astratto ed orientato ad un dettaglio di controlli troppo formale (NIST SP800-53), e quimdi fruibile più da uno specialista della sicurezza, piuttosto che da un’organizzazione che vuole capire quanto il cloud possa essere o meno una soluzione per elevare i propri livelli di sicurezza;
  • dato che la norma di riferimento in Europa è la ISO27001, sarebbe apprezzabile avere riferimenti per il mapping dei controlli (anche) rispetto a questa norma;
  • manca una presentazione intuitiva dei risultati dell’assessment e del gap esistente rispetto ad una possibile migrazione verso i servizi nel cloud;
  • vengono presentati soltanto i vantaggi derivanti da una migrazione verso il cloud, omettendone invece i problemi ed i rischi.

Conclusioni

Nel complesso lo strumento appare interessante, sopratutto nell’approccio.
Tuttavia il sito appare essere molto orientato all’utente americano, sia per la mancanza di internazionalizzazione, sia per i riferimenti al solo standard NIST SP800-53.
Essendo realizzato dalla Microsoft, non stupisce che il sito tratti soltanto il modello SaaS, dovendo promuovere il reale business dell’azienda (software ed applicazioni), piuttosto che infrastrutture e piattaforme (modelli IaaS e PaaS).
Il livello di chiarezza, semplicità ed intuitività del report generato non sono al livello di quelli del form iniziale di self-assessment, ma potrà essere facilmente migliorato integrando rappresentazioni grafiche dei risultati; tuttavia ad oggi esso potrebbe non essere sufficientemente in linea con l’obiettivo di facilitare le organizzazioni che non dispongono di capacità interne evolute a comprendere dove si posizionino nel panorama della sicurezza e quale possa essere il gap che può essere coperto migrando verso servizi nel cloud.
Lo strumento è ‘monodirezionale’, nel senso che, qualunque sia il risultato dell’assessment, evidenzia soltanto gli aspetti positivi di una migrazione verso il cloud, e quindi non può essere considerato completamente obiettivo in sede di valutazione; non vengono in nessun modo presentati i problemi derivanti dalla necessità di riqualificare o riconvertire le competenze del proprio personale, dei possibili rischi e dei costi nascosti.

Lo strumento è ‘asimmetrico’, nel senso che, qualunque sia il risultato dell’assessment, evidenzia soltanto gli aspetti positivi di una migrazione verso il cloud, e quindi non può essere considerato completamente obiettivo in sede di valutazione; non vengono presentati in nessun modo i problemi derivanti dalla necessità di riqualificare o riconvertire le competenze del proprio personale, dei possibili rischi e dei costi nascosti.