Thales ha realizzato con Ponemon Institute un report che fa luce sull’adozione della ‘nuvola’ all’interno delle aziende e di come questo dovrebbe influenzare, ancora con risultati discutibili, la gestione delle policy di sicurezza

cloud-security

Con un numero sempre maggiore di applicazioni che viaggiano sul cloud e con il via a progetti concreti di migrazione verso la nuvola torna a essere attualissimo il tema della sicurezza. Perché se è vero che il cloud offre indiscutibili vantaggi (flessibilità, agilità, pay per use e scalabilità solo per citarne alcuni) è anche vero che ripropone il problema della security dei dati sensibili e delle informazioni che ora viaggiano sulla rete al di fuori dei perimetri aziendali.

A fare luce sulla questione è uno studio sponsorizzato da Thales e realizzato da Ponemon Institute nel 2019 che ha messo in evidenza le tendenze della sicurezza nel cloud (scaricalo qui). Se da un lato infatti sono sempre di più le imprese che fanno il salto verso la nuvola dall’altro il cloud introduce nuovi problemi legati alla gestione della sicurezza dei dati, con le aziende che si muovono in maniera disorganizzata senza mettere in atto le adeguate strategie.

E’ sempre più cloud-mania

Guardando ai dati della ricerca si nota subito come le cose siano cambiate in materia di cloud.

Il 48% dei dati aziendali viene archiviato nel cloud rispetto al 35% di tre anni fa e
il 49% delle organizzazioni crittografa i dati sensibili nel cloud.
Le imprese utilizzano in media 29 applicazioni cloud rispetto alle 27 di due anni fa con oltre il 10% delle imprese che ne utilizza più di 50. Ad essere archiviati nel cloud sono per il 60% le informazioni sui clienti, il 48% le e-mail e il 46% i dati dei consumatori.

Va poi considerato che oggi l’80% degli intervistati considera le applicazioni e le piattaforme di cloud computing fondamentali per le operazioni delle organizzazioni; inoltre, il 90% afferma che nei prossimi due anni il cloud diventerà sempre più importante. Il modello prevalente è quello del multi-cloud con quasi la metà delle aziende (48%) che ha adottato un’architettura o una strategia dove utilizza in media 3 cloud diversi. Mentre del 50% che non utilizza più di un cloud, il 60% afferma di avere intenzione di implementare un’infrastruttura multi-cloud nei prossimi 6 (37%) o 12 mesi (23%).

Sicurezza in primo piano

Questo scenario più che positivo porta però sotto la lente d’ingrandimento il problema legato alla security: con budget IT destinati a questo comparto sempre più risicati le organizzazioni non riescono a proteggere i dati sensibili.

Uno dei problemi maggiori riguarda l’attribuzione di responsabilità relative alla sicurezza dei dati con la maggior parte delle imprese che le addebita al cloud service provider senza rendersi conto della necessità di attuare un approccio ‘security first’ già a partire da loro stesse: la sicurezza dei dati è infatti una responsabilità dell’organizzazione.

In particolare, secondo il 70% degli intervistati, gestire le normative in materia di privacy e di protezione dei dati è più difficile in un ambiente cloud rispetto a un sito on premise. Inoltre, soltanto il 44% degli intervistati afferma che la propria organizzazione presta attenzione alla modalità di condivisione delle informazioni sensibili con terze parti e il 46% degli intervistati dichiara che l’organizzazione è proattiva nel rispetto delle normative in materia di privacy e di protezione dei dati nel cloud.

Allarma anche il dato secondo cui soltanto la metà degli intervistati afferma che le proprie organizzazioni hanno stabilito in modo chiaro responsabilità e ruoli per proteggere le informazioni riservate e sensibili archiviate nel cloud.

Una speranza arriva dal dato che nonostante il 32% degli intervistati non adotti un approccio ‘security first’, il 68% utilizza comunque una forma di quest’ultimo. Il 39% del campione dichiara di affidare al proprio provider di servizi cloud (21%) o al provider di servizi di sicurezza (18%) il compito di gestire i meccanismi della gestione della crittografia e delle chiavi.

Crittografia, tokenizzazione e altri strumenti di codifica: c’è ancora strada da fare

Negli ultimi tre anni l’utilizzo della crittografia, della tokenizzazione e di altri strumenti di codifica per proteggere dati nel cloud è aumentato. I dati sono anche protetti tramite reti di dati privati e servizi di sicurezza premium offerti dai provider di servizi cloud. Secondo la maggior parte delle organizzazioni le applicazioni cloud aumentano o non influenzano l’agilità crittografica dell’impresa ma soltanto la metà delle organizzazioni controlla le chiavi di crittografia quando i dati vengono crittografati nel cloud.

Molto importante è anche la pratica di gestione delle identità e degli accessi nel cloud.

A questo proposito la metà degli intervistati possiede interfacce separate di gestione delle identità per il cloud e per l’ambiente on-premise e solo il 30% dichiara di mantenere un’unica interfaccia di gestione delle identità sia per il cloud che per l’ambiente on-premise.