Negli ultimi due anni, portare carichi di lavoro e informazioni critiche in Cloud, si è rivelata una scelta promettente soprattutto per poter affrontare il nuovo modello di lavoro richiesto dal mercato e al contempo, ottimizzare i costi. Una transizione accompagnata però da un mix di strumenti e processi di sicurezza vulnerabili che ha portato a frequenti e costosi errori di configurazione e problemi legati alle perdite di dati. Sono diversi i prodotti che i professionisti IT utilizzano per gestire la sicurezza dei dati, ma enormi le difficoltà che devono affrontare poiché questi sistemi raramente vengono configurati correttamente. Inoltre, solo l’8% dei responsabili della sicurezza IT afferma di comprendere appieno lo shared responsibility model in ambito cloud security. Una confusione che mette in difficoltà i team che si occupano della sicurezza, a fronte di un panorama delle minacce sempre più ampio.
E’ quello che emerge dal Cloud Threat Report 2020 di KPMG e Oracle (consultabile direttamente qui) che hanno commissionato una survey online all’Enterprise Strategy Group, che ha coinvolto tra il 16 dicembre 2019 e il 16 gennaio 2020 750 professionisti IT e di cyber security in tutto il mondo. La sicurezza dei dati finanziari e della proprietà intellettuale dell’azienda rappresenta una seria preoccupazione per i professionisti IT. Alla base un approccio farraginoso alla sicurezza dei dati, con servizi non configurati correttamente e confusione per quanto riguarda i nuovi modelli di sicurezza in cloud, determinando una crisi di fiducia che sarà risolta solo dalle aziende che investiranno in automazione intelligente e saranno in grado di integrare la sicurezza all’interno della propria cultura aziendale.
Cyber security: poche configurazioni idonee e tanta confusione sulle responsabilità
Sebbene il 78% delle aziende utilizzi più di 50 soluzioni diverse per la sicurezza informatica e il 37% superi le 100, raramente questi sistemi vengono configurati correttamente. 10 o più incidenti di perdita dati sono stati registrati solo nell’ultimo anno. Tra le configurazioni errate più comuni, ci sono gli account con eccessivi privilegi (37%). Non a caso, il 59% delle aziende con dipendenti dotati account cloud “privilegiati” (con opzioni di sicurezza particolari) ha subito compromissioni delle credenziali da attacchi di spear phishing. Altre configurazioni errate riguardano l’esposizione a rischi dei web server e altri tipi di carichi di lavoro del server (35%), e la mancanza di autenticazione a più fattori per l’accesso ai servizi chiave (33%).
Quasi il 90% delle aziende usa servizi Software-as-a-Service (SaaS); il 76% usa l’Infrastructure-as-a-Service (IaaS); il 50% prevede di spostare nei prossimi due anni tutti i dati in cloud. Il crescente consumo di cloud ha creato nuovi “punti ciechi”, mentre i team IT aziendali e quelli dei service provider tentano di capire le relative responsabilità nella sicurezza dei dati. La confusione rispetto ai modelli di sicurezza a responsabilità condivisa mette in difficoltà i team che si occupano della sicurezza, a fronte di un panorama delle minacce sempre più ampio.
Il 92% dei professionisti IT non crede che la propria azienda sia adeguatamente preparata per proteggere i servizi su cloud pubblico e il 70% pensa che servano troppi strumenti specializzati per rendere sicuro il perimetro aziendale nel public cloud. Il 75% dei professionisti IT ha sperimentato perdite di dati da servizi cloud più di una volta. Quasi l’80% afferma che le recenti violazioni dei dati subite da altre aziende hanno contribuito a far aumentare l’attenzione della loro azienda sulla sicurezza dei dati per il futuro.
Cultura Security First: più professionisti e automazione
Per affrontare le crescenti preoccupazioni delle aziende su sicurezza e fiducia, i fornitori di servizi cloud e i team IT devono lavorare insieme per creare una cultura che metta la sicurezza al primo posto. Questo significa anche assumere, formare e trattenere in azienda professionisti della sicurezza IT competenti, e migliorare continuamente processi e tecnologie per mitigare le minacce in un mondo sempre più digitalizzato.
Il 69% delle aziende dichiara che i propri CISO sono stati coinvolti troppo spesso in progetti di cloud pubblico solo dopo che era avvenuto un incidente di cybersecurity. Il 73% delle aziende ha un CISO o prevedono di ingaggiarne uno con più competenze di sicurezza cloud; oltre la metà (il 53%) ha inserito in organico un nuovo tipo di professionista, il Business Information Security Officer (BISO) che collabori con il CISO e aiuti a integrare nel business la cultura della sicurezza.
L’88% dei professionisti IT pensa che entro i prossimi tre anni la maggior parte dei servizi cloud di cui disporrà l’azienda useranno funzioni di patching e aggiornamento automatizzate e intelligenti per migliorare la sicurezza. L’87% degli interpellati ritengono intelligenza artificiale e machine learning un “must have” per i nuovi acquisti di soluzioni di sicurezza, allo scopo di proteggersi meglio da frodi, malware, errori di configurazione.