ll 54% delle aziende dichiara cdi non avere ancora un approccio proattivo alla gestione della sicurezza IT per gli ambienti cloud. Le criticità? Il rispetto delle norme sulla privacy e la protezione dei dati.
La sicurezza dei dati nel Cloud rappresenta ancora una sfida importante per le aziende. A raccotarlo nel dettaglio gli analisti che hanno redatto il Gemalto 2016 Global Cloud Data Security Study.
Il report evidenzia come la crescente adozione di questa tecnologia nelle aziende non corrisponda a aumento delle misure di governance e di sicurezza rivolte a proteggere i dati sensibili presenti nel Cloud.
Il 73% degli oltre 3.400 professionisti della sicurezza IT intervistati ha detto che i servizi e le piattaforme cloud-based sono importanti per l’attività della propria organizzazione e l’ 81% ritiene che lo saranno ancora di più nel corso dei prossimi due anni.
Se da un lato il 65% ha dichiarato che la propria organizzazione è comunque impegnata nella protezione delle informazioni riservate o sensibili, dall’altro il 56% non crede che la propria azienda sia particolarmente attenta nelle pratiche di condivisione delle informazioni sensibili nel Cloud con terzi (come partner commerciali, appaltatori e fornitori).
I dati più a rischio? Quelli dei clienti
Secondo l’indagine, le informazioni su clienti e dipendenti, le e-mail, i dati di consumo e le informazioni di pagamento sono i tipi di dati che vengono oggi memorizzati più spesso nel Cloud. Lo storage delle informazioni relative ai clienti, per esempio, è aumentato dal 53% del 2014 al 62% di oggi; e sono proprio questi tipi di dati quelli ritenuti più a rischio dagli intervistati (53%). Gli esperti ritengono abbastanza ovvio il fatto che le misure di sicurezza nel Cloud non riescano a tenere il passo con il diffondersi della sua adozione, dato che questo ambiente rappresenta una vera e propria sfida all’approccio tradizionale relativo alla protezione dei dati. Il problema va risolto, secondo gli addetti del settore, con un approccio data-centrico in cui le organizzazioni IT possano proteggere in maniera uniforme i dati dei clienti e le informazioni aziendali proprio attraverso quei servizi basati sul Cloud che ormai dipendenti e dipartimenti interni utilizzano ogni giorno.
Fotografando lo stato della sicurezza Cloud aziendale, le cinque principali conclusioni tratte dagli analisti sono le seguenti:
- Lo Shadow IT continua a essere un grave ostacolo per la sicurezza nel Cloud
- Le pratiche di sicurezza tradizionali sono sono adatte all’ambiente Cloud
- I dati relativi ai clienti memorizzati nel Cloud sono considerati quelli più a rischio
- La crittografia è importante, ma non ancora diffusa nell’ambiente Cloud
- Molte aziende si affidano ancora alle password per proteggere l’accesso degli utenti ai servizi Cloud
Lo stato della sicurezza Cloud in azienda
Secondo gli intervistati, il 49% dei servizi Cloud in azienda vengono distribuiti da dipartimenti diversi da quello IT e, in media, il 47% dei dati aziendali memorizzati in ambienti Cloud non è gestito o controllato dal reparto IT.
Solo il 21% degli intervistati ha dichiarato che, nella propria azienda, i membri del team di sicurezza sono coinvolti nel processo decisionale relativo all’uso di determinate applicazioni o piattaforme Cloud, mentre il 64% ha detto che la organizzazione non segue policy che richiedono l’uso di particolari misure di sicurezza, come ad esempio la crittografia, come condizione necessario all’utilizzo di determinate applicazioni Cloud. N
onostante questo scenario, però la sensazione di fiducia non è bassa: il 54% degli intervistati si è detto sicuro che la propria organizzazione IT conosca tutte le applicazioni, piattaforme o servizi Cloud in uso all’interno dell’azienda.
Poco più della metà degli intervistati (54%) ritiene inoltre che le informazioni riservate o sensibili siano più difficili da proteggere quando si utilizzano i servizi Cloud: per il 53% ciò dipende dalla difficoltà di controllare o limitare l’accesso degli utenti finali. Altre sfide includono l’incapacità di applicare i principi di sicurezza convenzionale negli ambienti Cloud (70%) e l’impossibilità di controllare direttamente i fornitori di Cloud in merito alle conformità di sicurezza (69%).
La password non basta più
Anche se il 72% degli intervistati ha dichiarato di ritenere importante la possibilità di crittografare o tokenizzare dati sensibili o confidenziali, lo studio dimostra che la crittografia oggi non è ancora ampiamente utilizzata nel Cloud aziendale: solo il 34% degli intervistati, infatti, ha dichiarato che la propria organizzazione utilizza questi strumenti per difendere i dati sensibili o riservati all’interno delle applicazioni Cloud-based. I ricercatori evidenziano come le aziende stiano ancora adottando sistemi molto blandi per preservare la sicurezza delle informazioni: ad esempio, il 45% delle società prese in esame dall’analisi non si utilizza l’autenticazione a più fattori per gestire l’accesso di dipendenti e terze parti alle applicazioni e ai dati nel Cloud. Questo significa che in molti casi si fa ancora affidamento sulle sole password per convalidare le identità.
Considerando che il 58% degli intervistati ha dichiarato che utenti di terze parti utilizzano il Cloud per accedere ai propri dati, risulta chiaro come la mancanza di un’adeguata protezione metta a rischio una mole importante di informazioni.
In quest’ottica, gli esperti sottolineano come la nuova realtà dell’IT cloud-based dovrebbe imporre alle aziende di adottare politiche globali per la governance e la conformità dei dati, oltre a creare delle linee guida per l’approvvigionamento di servizi cloud e a stabilire norme che regolamentino quali dati possano o non possano essere memorizzati nel Cloud.