Linee guida MAS sul cloud pubblico: un approfondimento sul suo impatto sulla sicurezza del cloud – Fintech Singapore

In un mondo in rapida digitalizzazione, accelerato ulteriormente dalla pandemia di COVID-19, la tecnologia cloud è diventata una pietra miliare fondamentale per le aziende di tutto il mondo. Recentemente, l’Autorità Monetaria di Singapore (MAS) ha introdotto una circolare con linee guida sul cloud pubblico riguardante i rischi informatici associati alla sua adozione, con un impatto sia sul settore finanziario che su quello tecnologico. 

L’evoluzione della tecnologia cloud ha rimodellato il modo in cui operano le aziende precedentemente senza sbocco sul mare. La necessità di una maggiore sicurezza nel cloud, soprattutto all’interno del settore fintech, strettamente regolamentato, che potrebbe avere implicazioni di vasta portata, non è mai stata così grande. 

Il recente webinar dal titolo 'In che modo le nuove linee guida del cloud pubblico MAS incidono su di te', moderato dal CEO di Horangi, specialista in sicurezza informatica, Paul Hadjy, ha riunito esperti del settore per far luce sulle linee guida aggiornate stabilite dall'Autorità monetaria di Singapore (MAS). 

Tra i relatori figuravano Anand Nirgudkar, CTO dei pagamenti fintech CardUp e Ivy Young, responsabile della sicurezza presso AWS Professional Services, ASEAN.

Questa discussione cruciale, alla quale parteciperanno alcuni dei maggiori esperti del settore, offrirà una visione olistica del panorama del cloud pubblico in relazione al linee guida fissate dal MAS, ne approfondisce le implicazioni e il loro significato per le organizzazioni.

Sfruttare la potenza del cloud

L'onnipresenza del cloud negli ultimi anni non è sfuggita ai partecipanti al panel. Dalla garanzia di operatività 24 ore su 7, XNUMX giorni su XNUMX, alla fornitura di accesso ai dati di mercato, l'infrastruttura cloud è la spina dorsale delle loro operazioni.

Nel frattempo Anand, parlando dell'esperienza di CardUp, ha evidenziato l'etica cloud-first dell'azienda, indicando l'adesione allo standard PCI DSS, le migliori pratiche architetturali e la crescita regionale come motivatori chiave per la loro dipendenza dal cloud.

La sfida della sicurezza nel cloud

Nonostante gli enormi vantaggi offerti dalla tecnologia cloud, le sfide intrinseche che essa pone, in particolare nel campo della sicurezza, sono degne di nota. Una di queste sfide è l'errata configurazione. Anand sottolinea il dinamismo della sicurezza cloud e cita il famigerato incidente di Capital One come forte promemoria di come semplici errori di configurazione possano portare a violazioni significative.

Tuttavia, non è solo una questione di errata configurazione. Come sottolineato nelle linee guida MAS, la gestione dell’identità e degli accessi rimane fondamentale. Paul ha sottolineato l’importanza di disporre di controlli solidi, in particolare con le pratiche di onboarding e offboarding.

Riflettendo sul recenti violazioni dei protocolli DeFi Harbour e Exactly in attacchi separati, il panel ha ricordato le motivazioni che guidano gli aggressori. Quando c'è altro da guadagnare, l'attenzione degli aggressori viene invariabilmente attirata. Pertanto, sebbene l’infrastruttura cloud offra vantaggi senza precedenti, la posta in gioco non è mai stata così alta.

Il modello di responsabilità condivisa

Un argomento centrale di discussione è stato incentrato sul “modello di responsabilità condivisa”. Ivy Young ha osservato: “Qualcosa di fondamentale qui, quando consideriamo la sicurezza, è un modello di responsabilità condivisa”. 

Questo modello sottolinea la divisione delle responsabilità tra i fornitori di servizi cloud e i loro clienti. Mentre i fornitori di servizi cloud garantiscono la sicurezza del cloud, i clienti devono proteggere ciò che inseriscono nel cloud, siano essi dati o applicazioni.

Ivy ha inoltre sottolineato che comprendere il modello di responsabilità condivisa è essenziale. Tuttavia, la sfida sorge quando questa comprensione non si traduce in operazioni e processi quotidiani. Di conseguenza, potrebbero emergere configurazioni errate o lacune nella governance.

Visibilità nell'infrastruttura cloud

Anand ha sottolineato l'importanza della visibilità nell'infrastruttura cloud. "L'aspetto fondamentale per decidere se si desidera proteggere i dati o impedire qualcosa è l'aspetto della visibilità", ha commentato. 

Avere una supervisione completa garantisce prevenzione, rilevamento e gestione degli incidenti efficaci su misura per il cloud. Strumenti come Incident Manager di AWS, Azure Sentinel e altri svolgono un ruolo fondamentale nell'offrire questa visibilità, aiutando le organizzazioni a rilevare tempestivamente configurazioni errate e implementare solidi modelli di governance.

Decodificare i gerghi della sicurezza cloud

La rapida evoluzione della tecnologia cloud introduce spesso nuove terminologie e acronimi. I relatori hanno accompagnato i partecipanti in un vorticoso tour di questi, a partire da CWPP (Cloud Workload Protection Platform) a CSPP (Cloud Security Posture Management) e infine CNAPP (Cloud Native Application Protection Platform). Il tema generale di ciascuno di essi era garantire sicurezza e conformità nell'ambiente cloud in rapida evoluzione.

“Comprendere i casi d’uso principali”, ha sottolineato il panel, aggiungendo che, indipendentemente dall’acronimo, l’attenzione dovrebbe sempre essere rivolta alla salvaguardia dei dati, ai piani di controllo e alla garanzia di una solida sicurezza del cloud.

La sfida dell’allerta fatica

Sebbene disporre di strumenti sia essenziale, Anand ha sottolineato la vera sfida: “L’allerta fatica è reale”. 

I sistemi di sicurezza possono inondare i team di avvisi, portando a una perdita di concentrazione sulle minacce reali in mezzo a un mare di falsi positivi. Pertanto, è fondamentale non solo implementare gli strumenti, ma anche garantire che siano personalizzati per fornire informazioni fruibili senza sovraccaricare il personale di sicurezza.

Approfondimento sulla circolare MAS sull'adozione del cloud

La nuova circolare dell'Autorità Monetaria di Singapore sull'adozione del cloud per le organizzazioni di Singapore è stata il punto focale del webinar. La circolare sottolinea la rapida migrazione del settore dei servizi finanziari a Singapore verso le piattaforme cloud. 

Come ha osservato Paul Hadjy, anche se la circolare MAS potrebbe non dettagliare ogni acronimo, sottolinea l’importanza di disporre di soluzioni, processi e strategie di mitigazione efficaci. L'obiettivo della circolare è in linea con quello di garantire che le entità regolamentate mantengano i più elevati standard di sicurezza del cloud.

In che modo le linee guida del cloud pubblico MAS incidono sulle aziende

Paul ha sottolineato l'importanza di comprendere le configurazioni errate all'interno dello sviluppo del cloud, evidenziando il valore del Linee guida per il cloud pubblico MAS. Ha detto: "Gli sviluppatori, sapendo da dove provengono molte configurazioni errate, possono essere molto influenti e importanti". Le linee guida, secondo Paul, sono una lettura essenziale per chiunque operi nel settore, in particolare per coloro che sono coinvolti negli aspetti tecnici del cloud.

I relatori hanno fatto luce sulle implicazioni più ampie delle linee guida. Ha sottolineato l’importanza che non solo gli attuali operatori del settore, ma anche gli imprenditori in erba nel settore fintech, familiarizzino con queste linee guida. 

Parlando della fiorente crescita del settore fintech, il panel ha affermato: "La dinamica della direzione in cui si sta dirigendo il business è sicuramente verso il cloud". Ritengono che gli investimenti dovrebbero essere indirizzati verso le procedure di sicurezza nel cloud, sottolineando l’importanza del lavoro basato sul cloud, sia che si tratti di gestione delle informazioni, flusso di lavoro o reclami.

Ivy, responsabile della sicurezza presso AWS Professional Services nell'ASEAN, ha parlato di come migliorare la propria posizione di sicurezza. Secondo lei, i requisiti normativi dovrebbero essere visti solo come l'inizio. 

Le aziende dovrebbero mirare a costruire fin dall’inizio una cultura della sicurezza, poiché ciò avvantaggerebbe loro a lungo termine. Ha affermato che molte aziende ora vedono la sicurezza come un fattore abilitante per le vendite, una prospettiva che sta diventando sempre più diffusa in Asia.

Ivy ha elencato tre passaggi iniziali affinché gli enti finanziari regolamentati possano avviare il proprio programma di sicurezza cloud. Il primo è allineare gli obiettivi aziendali ai livelli di maturità della sicurezza del cloud.

Il secondo è sfruttare le ampie risorse offerte dai fornitori di servizi cloud. In terzo luogo, stabilire visibilità fin dall’inizio è fondamentale per individuare e affrontare tempestivamente i rischi.

Anand Nirgudkar, CTO di CardUp, ha offerto una visione olistica, paragonando l'esperienza della migrazione nel cloud all'andare per la prima volta sulle montagne russe. Ha ribadito l'importanza di un processo di scoperta approfondito e di sfruttare l'aiuto fornito dai fornitori di servizi cloud. 

Inoltre, Anand ha sottolineato la necessità di modellare le minacce e i vantaggi della creazione di “guardrail” anziché di “cancelli”.

Ha inoltre incoraggiato la comunità a esplorare il Cloud Adoption Framework di AWS del 2016, che fornisce una guida completa che può essere utile, indipendentemente dallo specifico fornitore di servizi cloud che si potrebbe utilizzare.

Comprendere i pilastri della sicurezza nel cloud

Il panel ha iniziato identificando tre pilastri fondamentali per un programma di sicurezza cloud efficace. In primo luogo, la sicurezza degli endpoint riveste un’importanza fondamentale, soprattutto nei settori soggetti ad attacchi frequenti, come quello delle criptovalute. 

In secondo luogo, hanno messo in luce la prevenzione della perdita di dati (DLP). Man mano che la forza lavoro si espande e opera in remoto, la fuga di dati è diventata una preoccupazione importante. È fondamentale garantire l’accesso a informazioni cruciali senza compromettere la sicurezza attraverso meccanismi come il Single Sign-On o l’autenticazione a due fattori.

L’ultimo pilastro ruotava attorno all’igiene informatica. Man mano che le organizzazioni crescono, instillare una cultura di buone pratiche di sicurezza informatica diventa indispensabile. Garantire che i dipendenti, sia vecchi che nuovi, lo siano essere ben informati sulle potenziali minacce è fondamentale.

Transizione al cloud: da dove cominciare?

Quando si considerava la transizione al cloud, la domanda "da dove iniziare" è stata affrontata sia da Anand Nirgudkar che da Ivy Young. Anand ha sottolineato l'importanza di comprendere e classificare le risorse prima di prendere qualsiasi decisione sulla migrazione. Ha sostenuto una valutazione basata sul rischio e sull'impatto aziendale associato alla potenziale migrazione di ciascuna risorsa. 

Facendo eco a sentimenti simili, Ivy ha sottolineato l’importanza degli obiettivi aziendali. È stato consigliato di iniziare con la migrazione delle risorse meno critiche per acquisire esperienza, per poi passare gradualmente ai carichi di lavoro più critici, promuovendo così la fiducia e coltivando un ambiente di apprendimento pratico.

Linee guida MAS sul cloud pubblico: punti chiave

Una delle domande più urgenti riguardava i cambiamenti apportati dalle linee guida del cloud pubblico MAS. Anand ha fornito un articolato riassunto degli elementi essenziali delle linee guida. 

Ha elogiato MAS per la sua circolare completa, che approfondisce aspetti che vanno dall'introduzione di vari modelli di servizio, responsabilità condivise, gestione delle identità e degli accessi, approcci alla sicurezza del carico di lavoro e principi di sicurezza zero-trust. 

Le linee guida sostengono inoltre test continui, sicurezza dei dati, gestione delle chiavi e altro ancora. L’enfasi su un approccio alla sicurezza basato sul rischio costituisce la spina dorsale dell’intera circolare, sottolineando l’importanza di un approccio equilibrato e pragmatico alla sicurezza del cloud.

Il cloud come imperativo aziendale

Anche se non è stato possibile rispondere a tutte le domande a causa dei limiti di tempo, gli approfondimenti condivisi dai relatori offrono un apprendimento inestimabile. IL Webinar "In che modo le nuove linee guida per il cloud pubblico MAS incidono su di te". ha sottolineato come l'adozione e la sicurezza del cloud non siano semplici decisioni IT, ma siano imperativi aziendali fondamentali nell'era digitale di oggi. 

Sebbene le nuove linee guida MAS introducano un ulteriore livello di complessità, inaugurano anche un’era di maggiore sicurezza, trasparenza e fiducia. Mentre le organizzazioni seguono queste linee guida, un approccio completo, strategico e proattivo all'adozione e alla sicurezza del cloud non è solo consigliato, ma essenziale.

Guarda il webinar su richiesta a questo link per ottenere approfondimenti.

Horangi parteciperà al prossimo Singapore Fintech Festival che si svolgerà dal 15 al 17 novembre. Scopri di più sulla loro partecipazione allo stand qui.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://fintechnews.sg/79332/cloud/mas-public-cloud-guidelines-a-deep-dive-into-its-impact-on-cloud-security/