Secondo una nuova ricerca di Kaspersky Lab, il 35% delle aziende ammette di non sapere dove determinate informazioni aziendali vengano archiviate, se sui server dell’azienda o su quelli dei propri fornitori di servizi cloud. Questa incertezza rende più difficile proteggere i dati e garantire la loro trasparenza, mettendone a rischio l’integrità e aprendo la strada a potenziali rischi per la sicurezza con implicazione anche di tipo economico.

I servizi cloud consentono alle aziende di sfruttare le principali tecnologie a supporto delle operazioni quotidiane e i piani di crescita, senza preoccuparsi della manutenzione o dei costi elevati. Tenendo conto di ciò, non sorprende che il 78% delle aziende stia già utilizzando almeno una piattaforma basata su un modello Software-as-a-Service (SaaS).

Lo stesso numero di aziende (75%) prevede in futuro di spostare più applicazioni nel cloud. Per quanto riguarda l’Infrastructure-as-a-Service (IaaS), quasi la metà delle grandi aziende (49%) e delle PMI (45%) intende delegare la gestione dell’infrastruttura e dei processi IT a terze parti.

sicurezza

Tuttavia, la velocità di adozione e la riduzione dei costi operativi hanno portato molte organizzazioni a tralasciare la sicurezza: molti, infatti, utilizzano i servizi cloud senza alcuna strategia di cybersecurity. L’incertezza su chi sia responsabile della sicurezza dei dati nel cloud può spesso essere la causa di questo problema. La ricerca ha rilevato che 7 aziende su 10 che si affidano a provider SaaS e di servizi cloud non hanno un piano per gestire gli incidenti di sicurezza che potrebbero interessare i propri partner.

Un’azienda su quattro ammette inoltre di non aver nemmeno controllato le credenziali di conformità del proprio service provider, dando per scontato che le conseguenze di eventuali incidenti siano a carico del provider stesso. Dall’indagine è poi emerso che il 42% delle aziende non si sente adeguatamente protetta dagli incidenti che potrebbero interessare il proprio fornitore di servizi cloud e il 24% ha subito, negli ultimi 12 mesi, un incidente di sicurezza che ha colpito l’infrastruttura IT di terze parti.

Questa mancanza di pianificazione e responsabilità da parte di chi si affida al cloud per la sicurezza delle proprie informazioni potrebbe avere gravi conseguenze per le aziende. Le grandi imprese subiscono in media un danno finanziario di 1,2 milioni di dollari in seguito a un incidente di sicurezza legato al cloud, rispetto ai 100.000 dollari per le PMI.

Kaspersky

Le tre tipologie di dati maggiormente colpite riguardano informazioni sui clienti altamente sensibili (rilevate dal 49% delle PMI e dal 40% delle grandi aziende), informazioni di base sui dipendenti (25% per le PMI, 36% per le grandi imprese) e, infine, e-mail e comunicazioni interne (31% per le PMI, 35% per le grandi imprese).

Le aziende devono trovare un modo per tenere sotto controllo i servizi cloud. Ogni dato deve essere protetto ovunque si trovi e in qualsiasi momento. Per fare ciò, le aziende devono individuare le anomalie all’interno delle proprie infrastrutture cloud e questo si può ottenere solo attraverso una combinazione di tecniche come il machine learning e l’analisi comportamentale.

Questa capacità di identificare e bloccare minacce sconosciute è assolutamente fondamentale per la sicurezza dell’infrastruttura cloud. Oltre a ciò, garantire la visibilità dell’ecosistema cloud e del relativo livello di sicurezza informatica offre alle aziende una visione chiara su dove risiedano i dati e se il loro attuale stato di protezione soddisfi le policy di sicurezza aziendale. Solo in questo modo le aziende saranno in grado di tenere sotto controllo il cloud, indipendentemente dalla quantità e dalla posizione dei dati.