Più una rete aziendale si apre all’esterno, più si trasferiscono in Cloud dati di produzione, finanziari e di business e più aumentano i rischi per la protezione dei dati stessi. In Italia la cybersecurity è spesso vissuta come un freno all’accelerazione della digitalizzazione delle nostre imprese e il massiccio ricorso degli ultimi mesi a piattaforme digitali per accedere ai documenti aziendali e a strumenti di lavoro collaborativi, anche da device personali, ha aumentato il livello di attenzione alla sicurezza informatica, ma anche la vulnerabilità a possibili attacchi, se non viene trattata correttamente. Tuttavia il problema non è solo italiano, come emerge dall’Oracle e Kpmg Cloud Threat Report 2020.
L’indagine di Oracle e Kpmg sulle minacce del Cloud, il “Cloud Threat Report”, mette in evidenza le principali sfide sulla sicurezza in Cloud a livello mondiale, attraverso l’esperienza e la percezione che ne hanno gli addetti aziendali.
Sono stati intervistati 750 responsabili IT e della sicurezza informatica di aziende private e pubbliche del Nord America (Usa, Canada), Europa Occidentale (Regno Unito e Francia) e Asia-Pacifico (Australia, Giappone, Singapore), tra dicembre 2019 e gennaio 2020, con la responsabilità di valutare, acquistare e gestire prodotti e servizi di cyber-security e avere un’elevata conoscenza dell’uso del cloud pubblico da parte della propria organizzazione.
Ciò che emerge dalla ricerca è una elevata preoccupazione (tre volte tanto quella per la sicurezza della propria rete domestica) e molta confusione sia nell’utilizzo dei sistemi di sicurezza, sia nell’integrazione con la legacy interna, cioè i sistemi hardware e software già presenti in azienda, sia rispetto alla cosiddetta “responsabilità condivisa” del Cloud.
Ma il processo ormai è inarrestabile: quasi il 90% delle aziende usa servizi SaaS (Software as a Service), il 76% IaaS (Infrastructure as a Service) e una su due prevede di trasferire tutti i dati in Cloud entro due anni. Portando in Cloud sempre più dati critici, però, si sono creati anche nuovi “punti ciechi” e la confusione regna sovrana. La maggioranza delle imprese (78%), infatti, dichiara di utilizzare oltre 50 soluzioni diverse di protezione per affrontare internamente i problemi di sicurezza e il 37% ne utilizza oltre un centinaio.
Le aziende che hanno rilevato servizi Cloud non configurati correttamente hanno riscontrato oltre 10 incidenti di perdita di dati nell’ultimo anno e solo l’8% afferma di comprendere il modello della responsabilità condivisa (shared responsibility model) in ambito di Cloud security. In particolare, nel Cloud pubblico il fornitore del servizio è responsabile dell’infrastruttura, mentre applicazioni e dati, e relativa sicurezza, sono in capo al cliente.
Nel modello SaaS, invece, anche le App sono in capo al provider, ma i dati restano di proprietà e responsabilità del cliente. Così, l’87% delle imprese conta sull’integrazione di intelligenza artificiale e machine learning per dotarsi di prodotti più sicuri in futuro.
Strategia digitale con la sicurezza al primo posto
Ma è un problema solo di prodotto, o di mancanza di un’architettura di rete che comprenda una strategia digitale della sicurezza, con un modello “Security-first”, dove provider e IT lavorino insieme, anziché basarsi su interventi in emergenza, spesso tardivi e confondendosi sulle reciproche responsabilità? Il punto è che le criticità di sicurezza informatica non si risolvono in automatico con il cloud, semplicemente si spostano.
Infatti il 75% dei professionisti IT considera sì il Cloud pubblico più sicuro dei propri datacenter, ma il 92% non crede che la propria azienda sia preparata per proteggere dati e applicazioni in Cloud. Il 69% delle aziende, per esempio, dichiara che i propri Ciso (Chief Information Security Officer) siano stati coinvolti solo dopo un incidente di sicurezza informatica nei progetti Cloud e la maggior parte li vorrebbe comunque con più competenze di sicurezza Cloud.
Ora, oltre la metà ha inserito il Business Information Security Officer (Biso), una nuova figura che collabora con il Ciso proprio per far migrare nel business la cultura della sicurezza e ottenere gli investimenti strategici necessari.
«Per affrontare le sfide dell’attuale contesto di mercato», spiega Tony Buffomante, Global co-leader e U.S. leader cybersecurity services di Kpmg LLP, «le aziende hanno accelerato il trasferimento dei carichi di lavoro e dei dati sensibili su piattaforma cloud per supportare il nuovo modello di lavoro e ottimizzare i costi. Questa trasformazione sta generando vulnerabilità e nuovi rischi. Così, per poter gestire l’aumento del livello di minaccia è essenziale che i Ciso integrino la sicurezza nel processo di migrazione del Cloud e delle strategie di implementazione, mantenendo una costante comunicazione con l’azienda».
E in Italia?
In Italia quasi una su due le grandi aziende hanno già la figura del responsabile della sicurezza informatica (Ciso), che per lo più riporta al Chief Information Officer (Cio) della divisione Ict (60%), oppure a funzioni come il Legal&Compliance o Risk Management. Solo l’8% ha un Ciso che fa parte del management, con un budget rientrante a tutti gli effetti nelle strategie aziendali (dati Osservatorio Cybersecurity e Data Protection 2019).
Il limite è proprio quello di trattare ancora come tappabuchi gli interventi di salvataggio della rete, delle macchine e dei dati aziendali e contare sull’IA per il futuro. Ben l’88% del campione considera infatti un imperativo la presenza di soluzioni di intelligenza artificiale nei nuovi acquisti di sicurezza informatica, allo scopo di proteggersi meglio da frodi, malware ed errori di configurazione. E prevede, entro tre anni, di dotarsi di funzioni di patching e aggiornamento automatizzate e intelligenti per migliorare la sicurezza.
Sì intelligenza artificiale, ma con un approccio strategico al Cloud
Aggiunge Steve Daheb, senior vice president di Oracle Cloud: «Negli ultimi due anni portare informazioni critiche in Cloud si è rivelata una scelta promettente, ma si è creato un mix abbastanza “mostruoso” di strumenti e processi di sicurezza, con frequenti e costosi problemi di errori di configurazione e perdite di dati. Si stanno comunque facendo dei progressi. L’adozione di strumenti che sfruttano il machine learning a chiudere lo skill gap è nella lista della spesa IT per l’immediato futuro».
E conclude: «Al contempo, il top management sta lavorando per portare tutte le linee di business ad adottare una cultura aziendale che metta al primo posto la sicurezza».