CloudCloud managementSecurity managementSicurezzaVirtualizzazione

Bitdefender, i CISO temono i rischi del cloud pubblico e il GDPR

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Una ricerca Bitdefender evidenzia le preoccupazioni dei CISO nel trattamento dei dati nel cloud pubblico e le relative conseguenze per l’entrata in vigore del GDPR. Eppure solo in pochi casi alla preoccupazione seguono linee chiare e comportamenti coerenti

Bitdefender - Infografica
Bitdefender Infografica – Le pressioni sui CISO e i relativi timori

Bitdefender ha commissionato a Censuswide uno studio condotto tramite sondaggio pubblico, in cui ha indagato le pressioni derivanti dal passaggio al cloud computing su un campione di oltre mille responsabili IT di grandi aziende con oltre mille postazioni tra UK, Usa, Francia, Italia, Svezia, Danimarca e Germania. Le evidenze più significative riguardano due temi.

Il primo è la preoccupazione per la sicurezza del cloud pubblico con il 40 percento dei Chief Information Security Officer (CISO) che ammette come l’utilizzo su cloud pubbliche estenda i confini da difendere, anche se emerge pure come il 10 percento del campione non applica nessuna sicurezza ai dati sensibili semplicemente memorizzati nell’infrastruttura aziendale e appena un’azienda su sei cifra i dati già spostati in cloud.

Emerge quindi come più che le soluzioni di sicurezza, manchi soprattutto l’execution anche di quelle abitudini che invece dovrebbero essere già consolidate.

La seconda evidenza riguarda le preoccupazioni per la data di maggio 2018 e l’applicazione del GDPR, il Regolamento Generale sulla Protezione dei Dati, un tema su cui il campione candidamente esprime preoccupazione, perché non è del tutto conforme, quando addirittura non ha ancora messo in moto alcun processo. Entriamo nei dettagli quindi.

Circa l’87 percento dei CISO dichiara di considerare la cifratura il metodo più efficace di protezione delle informazioni su cloud pubblico, con a seguire i software di sicurezza e i sistemi di backup, solo il 17 percento però cifra tutti i dati memorizzati nel cloud pubblico, mentre appena la metà protegge tra il 41 e il 70 percento dei dati memorizzati nel cloud pubblico.

E’ il 32 percento del campione a non cifrare i dati in transito dal data center on premise a quello esterno e addirittura il 10 percento non si preoccupa del tutto di impiegare soluzioni di sicurezza su cloud pubblico. E’ impressionante la percentuale anche perché parliamo di aziende di grande dimensione. Non delle nostre PMI. 

Per quanto riguarda il GDPR, si sa che il regolamento richiede la capacità di identificare i dati che rientrano nel controllo dei regolamenti e documentare come vengono protetti con i relativi piani di risposta agli incident.

L’indagine in questo senso evidenzia come il 73 percento dei responsabili IT sia dotato di soluzioni per la protezione di sicurezza sugli endpoint e infrastrutture fisiche e virtuali, e come solo in un caso su 4 gli strumenti adottati siano separati. Nel 70 percento dei casi la motivazione è legata ai requisiti interni, per la protezione dei dati sensibili, mentre in un caso su due si vogliono evitare interruzioni in caso di attacchi. 

Il consiglio di Bitdefender in questi contesti è di utilizzare una soluzione di sicurezza ad hoc per l’infrastruttura su cui va eseguita, invece di un unico strumento (quindi con la distinzione virtuale e fisico): per evitare il sovraccarico di una soluzione endpoint su diverse VM ospitate sui server fisici, per fare in modo di non ridurre le prestazioni (gli strumenti pensati per ambienti virtuali utilizzano agenti ottimizzati che integrano appliance virtuali di sicurezza sui server in modo da non ricontrollare ogni volta i file utilizzati) e infine perché la tipologia di attacchi in ambienti virtuali o fisici è spesso diversa. 

Quando si parla di cloud computing e sicurezza, inoltre, se un’azienda opta per una soluzione cloud ibrida, non può fare a meno di analizzare il tipo di dati che gestisce e valutare la loro sensibilità in relazione al patrimonio intellettuale dell’azienda, così come in relazione alle persone (clienti/fornitori) cui si riferiscono.

GDPR - Il GDPR nel 2018 guiderà le decisioni di spesa in ambito DLP nel 65 percento dei casi
GDPR – Il GDPR nel 2018 guiderà le decisioni di spesa in ambito DLP nel 65 percento dei casi

Così i dati critici sia personali sia privati relativi a proprietà intellettuali dovrebbero essere memorizzati in locale, con accesso garantito solo a personale autorizzato. In pratica, secondo gli esperti BitDefender è fondamentale che il cloud privato resti effettivamente privato e del tutto isolato dall’accesso pubblico a Internet.

La fotografia dell’indagine indica come oggi le aziende italiane memorizzino su cloud pubblico nel 37 percento dei casi informazioni sui prodotti, per il 54 percento dei casi informazioni sui clienti e per il 45 percento informazioni finanziarie, preferendo evitare la memorizzazione di dati relativi a prodotti in studio, concorrenti, proprietà intellettuali.