News

Utenti vs Cloud provider, di chi è la colpa delle violazione dei dati?

Secondo il report di Kaspersky Lab, all’interno delle infrastrutture del cloud pubblico sono molto più probabili gli incidenti causati dai dipendenti dei vari clienti, piuttosto che quelli legati ad azioni dei cloud provider stessi

Pubblicato il 20 Mag 2019

Kaspersky_Lab__Cloud_Report

All’interno delle infrastrutture del cloud pubblico sono molto più probabili gli incidenti causati dai dipendenti dei vari clienti, piuttosto che quelli legati ad azioni dei cloud provider stessi: è quanto emerge dal report divulgato da Kaspersky Lab dal titolo: “Understanding security of the cloud: from adoption benefits to threats and concerns”.
Le aziende si aspettano che i provider siano responsabili dell’integrità dei dati archiviati all’interno delle piattaforme. Al di là di questo punto di vista, circa il 90% delle violazioni di dati aziendali nel cloud (l’88% per le PMI e il 91% per le grandi aziende) avviene grazie a tecniche di social engineering che prendono di mira i dipendenti dei clienti dei servizi stessi, non per problemi causati dai cloud provider.

L’adozione del cloud permette alle organizzazioni di beneficiare di processi aziendali più agili, di ridurre le spese normalmente impiegate per l’acquisto di asset durevoli e di poter contare su una fornitura IT più veloce. Nonostante questi vantaggi, le stesse organizzazioni si preoccupano della stabilità dell’infrastruttura cloud e della sicurezza dei propri dati. Almeno un terzo delle PMI e delle realtà enterprise (35%) tra quelle coinvolte nello studio di Kaspersky Lab (sono state realizzate 7.186 interviste in 24 diversi paesi, coinvolgendo aziende di diverse dimensioni) ha dichiarato di essere preoccupato in merito a possibili incidenti che possono colpire le infrastrutture ospitate da terze parti. Le conseguenze di un incidente di sicurezza IT potrebbero vanificare tutti i benefici ottenuti dall’adozione del cloud e portare, invece, a potenziali rischi dal punto di vista commerciale e reputazionale.

Anche se le organizzazioni si preoccupano soprattutto per l’integrità delle piattaforme cloud esterne, è più probabile che vengano colpite da vulnerabilità che possono trovarsi vicino a loro. Un terzo degli incidenti (33%) all’interno del cloud è causato, come anticipato, da tecniche di social engineering che cercano di sfruttare il comportamento dei dipendenti, mentre solo l’11% può essere imputato ad azioni dei cloud provider.

L’indagine di Kaspersky Lab mostra che si può fare di più per garantire l’adozione di misure di cybersicurezza adeguate quando si ha a che fare con terze parti. Solo il 39% delle PMI e la metà (47%) delle realtà enterprise ha adottato soluzioni di protezione su misura per il cloud. Una situazione determinata da vari fattori: ci sono aziende che, per esempio, scelgono di affidarsi direttamente al proprio cloud provider per quanto riguarda la sicurezza IT o altre che pensano, sbagliando, che la protezione standard per gli endpoint possa funzionare senza problemi all’interno dell’ecosistema cloud, senza ridurne i benefici.

“Nel momento della migrazione a un cloud pubblico il primo passo per qualunque azienda è capire chi sia davvero responsabile dei dati aziendali e dei carichi di lavoro che li riguardano. I provider di servizi cloud dispongono normalmente di misure di cybersecurity dedicate per proteggere piattaforme e clienti, ma quando la minaccia riguarda il cliente in modo diretto, non è più una responsabilità del fornitore. La nostra ricerca dimostra che le aziende dovrebbero prestare più attenzione alla cybersecurity hygiene dei propri dipendenti e adottare misure che proteggano l’ambiente cloud a partire dall’interno” ha commentato Maxim Frolov, Vice President of Global Sales presso Kaspersky Lab.

Proteggere i dati in cloud, i suggerimenti di Kaspersky Lab

Kaspersky Lab consiglia alle aziende l’adozione delle seguenti misure di protezione specifiche per assicurarsi che i dati siano al sicuro all’interno del cloud.

  • Spiegare ai dipendenti che anche loro possono diventare vittime di minacce informatiche. I dipendenti non devono cliccare su link o aprire allegati che arrivano da utenti sconosciuti. Una formazione che ha come obiettivo principale la sensibilizzazione, come avviene con la soluzione gamified Kaspersky Security Awareness, può essere utile in questo senso.
    Per ridurre al minimo il rischio di un uso non approvato delle piattaforme cloud, è importante formare lo staff sui possibili effetti negativi del “Shadow IT” e definire, per ogni dipartimento, le corrette procedure di acquisto e uso dei servizi delle infrastrutture cloud.
  • Utilizzare una soluzione di sicurezza per gli endpoint che blocchi eventuali vettori d’attacco basati sul social engineering. La soluzione ideale dovrebbe comprendere la protezione per i server di posta elettronica, i client di posta e i browser.
  • Dopo la migrazione, implementare quanto prima possibile una protezione per l’infrastruttura cloud. È fondamentale scegliere una soluzione di cybersicurezza fatta appositamente per l’ecosistema cloud, con una console di gestione unificata per gestire la sicurezza su tutte le piattaforme, supportare il rilevamento automatico degli host in-the-cloud, oltre alla scalabilità del roll out per ciascuna di esse.

In tale contesto, Kaspersky Hybrid Cloud Security offre alle aziende una protezione su diversi livelli per ambienti multi cloud, una soluzione di cybersecurity unificata e un’orchestrazione continua. La soluzione di Kaspersky Lab è in grado di rilevare cyberminacce comuni e avanzate e di proteggere l’intera infrastruttura cloud, dagli ambienti virtualizzati on-premise alle piattaforme di cloud pubblico, come, per esempio, AWS o Microsoft Azure.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4