Il General Data Protection Regulation (GDPR) che entrerà in vigore il 25 maggio 2018, è volto a rafforzare la protezione dei dati, anche nel cloud, nell’Unione Europea e richiede che qualsiasi azienda, in qualsiasi parte del mondo, rispetti tali norme in relazione al trattamento delle informazioni personali dei cittadini UE. Ma le aziende sono pronte davvero a far fronte a questi obblighi?
Secondo il report 1H 2016 Shadow Data Threat, c’è ancora molta strada da fare. I ricercatori, infatti, dopo aver analizzato oltre 5mila applicazioni cloud aziendali e 108 milioni di documenti memorizzati e condivisi, evidenziano che appena il 2% delle imprese cloud-oriented è pronto a soddisfare i requisiti richiesi dal nuovo regolamento per la privacy (tra cui figurano le applicazioni più popolari come Microsoft Office 365, Google Drive, Salesforce, Box e Dropbox). Un ulteriore 25% di applicazioni business soddisfano invece solo alcuni requisiti del GDPR, ma non possono essere considerati ancora pienamente conformi.
La sfida degli shadow data nel cloud
Ottenere visibilità e controllo sul cloud è un primo passo fondamentale per garantire la sicurezza sulla nuvola, ma secondo gli esperti gli shadow data rappresentano un’ulteriore sfida per la capacità dell’IT di prevenire la perdita o l’esposizione non conforme dei dati aziendali sensibili. Gli shadow data sono tutti quei contenuti che gli utenti caricano, archiviano e condividono, non solo utilizzando applicazioni cloud non autorizzate ma persino quelle sanzionate. Tuttavia, anche se un’organizzazione riuscisse imporre ai dipendenti il solo utilizzo di applicazioni di livello enterprise per il file sharing, come per esempio Box o Office 365, secondo i ricercatori non sarebbe comunque ugualmente garantira la totale immunità dai rischi di perdita di dati o violazioni delle conformità.
Il rapporto evidenzia infatti la difficoltà, per le organizzazioni, di tracciare il modo in cui gli utenti utilizzano le applicazioni non autorizzate e, di conseguenza, identificare il tipo di dati sensibili che possono essere caricati e condivisi in modo inappropriato. Proprio questa mancanza di visibilità sugli shadow data può comportare seri pericoli per la sicurezza e la conformità alle normative.
Aziende poco proattive: la protezione dei dati è a rischio
Lo studio ha rilevato che le organizzazioni utilizzano 20 volte più applicazioni cloud rispetto a quanto stimato da loro stesse, con la una media di 841 applicazioni presenti lungo le reti estese aziendali. E non solo: l’1% di queste applicazioni risultano ancora vulnerabili a diversi grandi exploit, come Freak, Logjam, Heartbleed e Poodle.
Gli analisti segnalano inoltre che il 63% delle attività pericolose effettuate nel cloud è rappresentata da tentativi di sottrazione dei dati, mentre nel 37% dei casi si tratta di azioni rivolte ad hackerare gli account degli utenti. Inoltre, il 2% degli account riporta segni di attività dannose a causa di credenziali compromesse.
La situazione risulta particolarmente delicata, come fanno notare gli esperti, anche alla luce dei recenti dati pubblicati da Gemalto secondo cui solo un terzo dei dati sensibili nelle applicazioni cloud è attualmente protetto da crittografia. Più della metà dei 3400 professionisti della sicurezza IT intervistati, infatti, ha dichiarato che la propria azienda non ha un approccio proattivo alla gestione della sicurezza, nel rispetto della privacy e della protezione dei dati in ambienti cloud.