Sono oramai evidenti e fuori discussione - dopo anni di dibattito sull’autenticità di un modello "stilnovistico" che sembrava recuperare e sdoganare come innovativi modelli client-server molto datati - i vantaggi per le imprese nel migrare anche parzialmente al Cloud le proprie applicazioni: flessibilizzazione (ed in molti casi anche reale riduzione) dei costi, maggiore concentrazione sul proprio business, maggiore scalabilità, efficienza operativa e produttività  attraverso tipologie di distribuzione dei servizi (IaaS, SaaS, PaaS) e modelli (privato, pubblico e soprattutto ibrido) che favorisco una fruizione controllata, modulare e personalizzata in grado di rilasciare definitivamente alle aziende il proprio potenziale.

Dal punto di vista della sicurezza, dell’integrità dei dati, della protezione delle informazioni sensibili e della salvaguardia dei processi di continuità operativa più critici come la "mancanza" di proprietà e controllo in relazione alla gestione del rischio, offre lo spunto per una ulteriore riflessione: banalmente la questione è che il Cloud Provider non si occupa dell’intero stack tecnologico, giuridico e di servizio e quindi – da questa prospettiva - c’è una responsabilità condivisa tra Cliente e Provider. Nella sicurezza quando non solo i modelli sono ibridi e le tecnologie sono integrate e cooperative, ma proprio quando le responsabilità sono condivise, si possono annidare punti di debolezza e di rottura del "sistema di sicurezza" che vengono puntualmente sfruttate dagli attaccanti, nel virtuoso (per le economie) ma pericoloso incrocio tra tecnologia e fattore umano.

In modo più diretto direi, quindi, che i Cloud Provider sono responsabili della sicurezza della "underlying technology", ma l’azienda e il Cliente devono mantenere la proprietà della corretta configurazione degli elementi del servizio e per farlo devono comunque affrontare e risolvere quotidianamente la necessità di un continuativo livello di aggiornamento, la disponibilità di risorse specialistiche (sullo specifico security layer aziendale), il continuo livello di monitoraggio e di intervento in caso di evento. 

Ad esempio, anche se il Cloud Provider implementa la crittografia dei dati, è opportuno attivare soluzioni sofisticate e onnicomprensive per crittografare i dati prima di caricarli nel cloud; così come è fondamentale proteggere i dispositivi degli utenti finali che accedono alle risorse basate sul cloud con una sicurezza avanzata degli endpoint e della rete, anche quando si sottoscrive un servizio di infrastruttura-as-a-service (IaaS) o un modello PaaS (platform-as-a-service). 

Non si risolve quindi questa complessità con la frase "sono sicuro perché ho tutto nel Cloud" ma "divento sicuro" se ho le capacità di integrare in autonomia l’attività del cloud o posso rivolgermi a specialisti della Sicurezza che attraverso un Security Operation Center erogano H24/365 giorni all’anno, il servizio di cyber monitoring e di gestione degli incidenti per difendere l’Azienda da hacking (SQL injection, XSS Session Hijacking), abusi (screen scraping, spamming e falsi account) e attacchi DoS e DDoS. 

A causa della natura stessa del cloud come risorsa condivisa, la gestione dell'identità, la privacy e il controllo degli accessi, la conformità alle normative sono di interesse cruciale. Con un maggior numero di organizzazioni che utilizzano il cloud computing, una corretta protezione in queste e in altre aree potenzialmente vulnerabili, è diventata una priorità.