News and Insights

Confidiamo nel cloud

L'adozione e l'utilizzo della tecnologia cloud sta rapidamente trasformando il settore informatico. Riteniamo che questa tecnologia rappresenti per tutti la democratizzazione di una enorme potenza di calcolo poiché garantisce a ciascun utente la stessa possibilità di accedere a enormi prestazioni di elaborazione senza dover creare costosi centri di calcolo.

Lo sviluppo del cloud computing ha consentito alle start-up e alle nuove società di crescere a un ritmo dirompente. Di conseguenza, per tenere il passo in questo contesto di radicale e rapida trasformazione, le società dovranno operare una trasformazione digitale al loro interno. Il crescente impegno nella trasformazione digitale renderà le aziende sempre più dipendenti dall’infrastruttura cloud. Tuttavia, in un mondo in cui le violazioni della sicurezza sono all’ordine del giorno, l'ambiguità che caratterizza il cloud computing può far apparire estremamente arduo il compito di mettere in sicurezza la rete aziendale. Tali timori hanno spinto alcuni Chief Information Officer (CIO) a impedire l'utilizzo a fini organizzativi dei servizi cloud pubblici.

Il cloud offre i suoi servizi a società di tutte le dimensioni. Il cloud è per tutti. Il cloud è una democrazia.

Marc Benioff, Founder & CEO of Salesforce

Aumento esponenziale dei dati

L’aumento esponenziale dei dati si riferisce al rapido aumento della quantità di informazioni o dati pubblicati e agli effetti di questo incremento. Con l'aumentare della quantità di dati disponibili, la gestione delle informazioni diventa una questione sempre più complessa che può determinare un sovraccarico di informazioni. Di seguito sono riportati alcuni interessanti dati statistici1,2:

  • Tra il 1990 e il 2005 la capacità degli hard disk è cresciuta di mille volte e oggi continua ad aumentare.
  • Produciamo oltre 8500 volte al giorno la stessa quantità di contenuti conservata nella Biblioteca del Congresso, la più grande raccolta di dati al mondo.
  • Oggi la National Security Agency (NSA) degli Stati Uniti raccoglie ogni sei ore una quantità di informazioni pari a quelle presenti nell’intera Biblioteca del Congresso.
  • Ogni giorno vengono generati 2,5 quintilioni di byte di dati (2 500 000 000 000 000 000 byte).
  • Entro il 2020 verranno generati 40 zettabyte di dati (1 zettabyte = 1 000 000 000 000 gigabyte).
  • La maggior parte delle società americane dispone di almeno 100 terabyte (=100 000 gigabyte) di dati memorizzati.

Questi elevati volumi di dati ci pongono di fronte a una sfida. Come gestire e preservare l'essenza di tali dati, invece che semplicemente accumularli?

Prima della tecnologia cloud, il software veniva solitamente venduto come soluzione permanente on-premise che il cliente acquistava dal fornitore di software. In base a questo modello, il cliente acquista preventivamente una licenza perpetua e paga una commissione annuale per ricevere manutenzione e assistenza. Questo modello di software on-premise è entrato in crisi circa dieci anni fa, quando venne introdotto il primo modello di cloud computing. Questo nuovo approccio consente ai clienti di sottoscrivere un servizio in un modello basato su fornitori accessibile tramite Internet. Con l'avvento del cloud, sono stati eliminati in un colpo solo l'investimento in software on-premise e i costi di manutenzione e assistenza. Una piattaforma di servizi cloud offre ai clienti un rapido accesso a risorse informatiche flessibili e a basso costo pagando solo per l’utilizzo effettivo.

Secondo Market Research Future, questa transizione dalle soluzioni on-premise al cloud sta avvenendo in modo rapido e assicura al mercato globale del cloud computing uno straordinario tasso composto di crescita annuale (CAGR) pari al 15%.

Fig. 1: crescita globale del cloud computing

Fonte: Market Research Future, RBC

Come ricordato all'inizio, uno dei fattori determinanti per lo sviluppo del cloud computing è l’aumento esponenziale dei dati, in particolare la crescita di dati non strutturati . La digitalizzazione di un numero sempre maggiore di attività da parte delle imprese determina una crescita significativa di dati non strutturati. Secondo quanto riportato da Oracle e da IDC, un fornitore di analisi di mercato e servizi di consulenza, i dati non strutturati rappresentano quasi l’80% del totale dei dati aziendali e aumentano del 42% p.a. rispetto a una crescita del 22% dei dati strutturati, come mostra la figura 2 riportata di seguito.

Fig. 2: crescita dei dati non strutturati rispetto alla crescita dei dati strutturati

Fonti: Oracle, IDC, Credit Suisse

Di norma i dati non strutturati vengono memorizzati al di fuori della rete aziendale in un ambiente di archiviazione cloud, di solito sotto forma di applicazioni negli archivi digitali. D'altro canto, i dati strutturati vengono memorizzati on-premise in una banca dati sotto forma di backup (solitamente i dati vengono archiviati nello stesso luogo in cui è situata la società, p. es. su un server locale nel seminterrato). Poiché si prevede che sempre più dati risiederanno al di fuori della rete aziendale (e molto spesso anche in un altro paese con un diverso sistema legislativo), riteniamo che le imprese dovranno aumentare la spesa per la sicurezza informatica al fine di garantire un accesso protetto ai dati.

Privacy e identità nel cloud

Il cloud computing comporta rischi connessi alla privacy poiché il fornitore di servizi può accedere in qualsiasi momento ai dati presenti nel cloud e potrebbe modificare o cancellare le informazioni in modo accidentale o intenzionale. Se richiesto dalla legge o da esigenze di ordine pubblico, molti fornitori di servizi cloud possono condividere informazioni con terze parti senza alcun mandato. Secondo la Cloud Security Alliance, le tre principali minacce nel cloud sono rappresentate dalla scarsa sicurezza delle interfacce e delle API (application programming interface), dalla perdita e dalla fuga di dati e da guasti dell'hardware4.

Riteniamo che in futuro le organizzazioni dovranno prendere in considerazione l'adozione di nuovi strumenti alternativi per la tutela della sicurezza nel cloud. Gran parte dei fornitori tradizionali hanno adottato misure per garantire la sicurezza dell'infrastruttura informatica, inclusi il perimetro di rete, gli hypervisor e il controllo dell'accesso host. Tuttavia, quando si tratta di proteggere il traffico dati tra diverse interfacce e applicazioni al di fuori della rete aziendale e, contemporaneamente, implementare soluzioni anti-malware e assicurare il rispetto dei vigenti requisiti normativi, la situazione diventa estremamente complessa. Molto spesso la responsabilità della protezione passa dal fornitore di cloud al cliente.

Nel mondo del cloud computing il tradizionale approccio alla sicurezza di rete basato su "castello e fossati" presenta limiti in termini di scala, latenza e costi. Le organizzazioni stanno iniziando a prendere in considerazione applicazioni per la sicurezza informatica che controllano il traffico dati al fine di assicurare la protezione da minacce potenziali. Per questa ragione riteniamo che le società i cui prodotti e strumenti si collocano nel cloud tra gli utenti e le stesse applicazioni cloud e che sono in grado di produrre sistemi IPS (intrusion prevention systems), sandboxing, sistemi di protezione dalla perdita di dati e firewall cloud si trovano in una interessante posizione concorrenziale. Si sviluppano molti casi d'uso relativi a installazioni di connessioni internet al cloud e ad applicazioni per data center per dipendenti di filiali mobili e remote. Siamo del parere che i fornitori di reti legacy e soluzioni per la sicurezza degli endpoint tradizionali devono riposizionarsi per cogliere questa opportunità oppure rischiano di venire travolti dai pure player della sicurezza nel cloud.

La gestione dell'accesso e dell’identità rappresenta un’ulteriore sfida per la sicurezza del cloud. Quando i dati sensibili sono archiviati al di fuori di una rete aziendale, è fondamentale identificare chi vi accede, come vengono utilizzati e con quali strumenti.

Prima dell'avvento del cloud computing gran parte delle organizzazioni utilizzava esclusivamente Active Directory di Microsoft per la gestione dei profili d'identità. Tuttavia, l'autenticazione degli utenti per le applicazioni cloud ha messo in crisi questo approccio on-premise. Active Directory è stato concepito per autenticare l'accesso alle applicazioni all'interno del firewall, mentre le applicazioni cloud risiedono al di fuori del firewall. Pertanto, sul mercato dell'identità si è rapidamente affermata l'esigenza di una directory basata su cloud. In generale, se si considera l'enorme quantità di carico di lavoro aziendale che è destinato a spostarsi sul cloud, riteniamo che i servizi per garantire la sicurezza nel cloud diventeranno sempre più rilevanti rispetto ai tradizionali controlli di sicurezza on-premise.

Un ulteriore fattore di sviluppo per la gestione dell'accesso e dell'identità è rappresentato dal Regolamento Generale sulla Protezione dei Dati (RGPD), che si propone di armonizzare le normative sulla protezione dei dati in Europa ed è entrato in vigore il 25 maggio 2018. In caso di non ottemperanza al regolamento sono previste multe pari a EUR 20 milioni o al 4% dei ricavi totali, a seconda di quale importo sia maggiore. A nostro parere, questo regolamento ha creato una "cultura del rispetto delle norme" in Europa che indirizzerà la spesa verso strumenti per la gestione dell'accesso e dell'identità che contribuiranno ad assicurare alle società la conformità a tale regolamento. Non escludiamo che questa normativa sulla riservatezza dei dati (o una versione analoga) verrà implementata in altri paesi.

Conclusione

Dal momento che con la diffusione del cloud crollano le tradizionali frontiere della rete, pensiamo che le nuove società con tecnologie all'avanguardia siano ben posizionate per acquisire quote di mercato dagli operatori storici. Pertanto riteniamo probabile che questi sviluppi evidenzieranno la necessità di adottare un approccio best-of-breed. Molto spesso i fornitori di questo tipo di prodotti e strumenti sono società giovani e innovative del mondo delle small e mid cap.

Riteniamo che il tema della sicurezza stia diventando una costante della vita quotidiana, con implicazioni sempre più importanti per la gestione automatica dei dati e delle infrastrutture di dati (come i data center). Esiste pertanto un rapporto simbiotico tra sicurezza e automazione (robotica): una normativa più rigorosa richiede maggiori misure di sicurezza e maggiori controlli che, a loro volta, presuppongono sistemi ancora più automatizzati per poter gestire ed effettuare verifiche e controlli in modo efficiente.

In quanto investitori in un'ottica di lungo periodo, riteniamo che i sistemi di sicurezza informatica e la sicurezza in generale costituiscano allettanti temi di crescita a lungo termine per chi sa aspettare. Forti di queste convinzioni, abbiamo investito in alcune società giovani e innovative che offrono soluzioni per la prevenzione della perdita di dati, l'archiviazione di e-mail e di dati e la gestione dell'accesso e dell’identità.