10 aprile 2023
Di Rodman Ramezanian - Global Cloud Threat Lead, Skyhigh Security
- Ecco cosa può fare al riguardo
Con i massicci cambiamenti globali che scuotono lo status quo del modo in cui le organizzazioni operano e proteggono i dati, non c'è da stupirsi che nel 2022 si siano verificati cambiamenti piuttosto importanti in molte metriche chiave di sicurezza che monitoriamo nel nostro rapporto annuale: Il Dilemma dei Dati: Rapporto sull'Adozione del Cloud e sui Rischi.
Cominciamo a dare uno sguardo d'insieme alle tendenze che guidano questi cambiamenti e al grande cambiamento di paradigma che è attualmente in corso.
L'adozione del cloud accelera
Sebbene il passaggio ai dati e ai flussi di lavoro basati sul cloud sia in corso da almeno un decennio, la pandemia ha indubbiamente funzionato da catalizzatore, costringendo le organizzazioni ad adottare ambienti di lavoro ibridi e remoti più velocemente di quanto molti fossero preparati. Questo ha avuto conseguenze notevoli sulla sicurezza. Sulla scia di questi cambiamenti globali, molte organizzazioni stanno affrontando una curva di apprendimento ripida per affrontare i problemi di sicurezza che sono sorti.
Emerge un nuovo paradigma
La sicurezza riguarda fondamentalmente la protezione dei dati. Ora che i dati sono ovunque, e risiedono al di fuori della rete aziendale tradizionale, è diventato apparentemente impossibile proteggerli con i mezzi tradizionali. Lo dimostra il fatto che il 90% delle organizzazioni nel nostro rapporto ha subito una o più violazioni della sicurezza, l'89% ha subito minacce alla sicurezza e l'80% ha subito un furto di dati. Inoltre, un enorme 75% delle organizzazioni che abbiamo intervistato ha sperimentato tutti e tre i problemi di sicurezza insieme nel 2022.
Ora è chiaro che l'approccio standard che si concentra sulla protezione dei dati solo alla fonte viene radicalmente ribaltato. Sta emergendo un nuovo paradigma che si concentra sulla protezione dei dati stessi, piuttosto che sul perimetro in cui sono archiviati. Il concetto di architettura a fiducia zero è una parte importante di questo cambiamento di paradigma e affronta molti dei problemi che sono sorti da questa massiccia trasformazione digitale.
Le organizzazioni devono affrontare una miriade di problemi di sicurezza
I risultati del nostro rapporto indicano che le complessità e le sfide della sicurezza dei dati nel cloud sono molte. I problemi di sicurezza segnalati dalle organizzazioni nel nostro studio includono:
- Le supposizioni e le comunicazioni errate tra i membri del team su chi è responsabile di quali dati sono comuni.
- In media, il 51% dei servizi SaaS in uso viene commissionato senza la supervisione dell'IT, e la mancanza di visibilità sui dati riguarda il 46% di questi servizi SaaS.
- Mancano controlli di sicurezza adeguati o coerenti per i dati, accompagnati da problemi di gestione.
- Un'enorme quantità di dati sensibili viene archiviata nel cloud, con il 61% dei dati sensibili in media archiviati nel cloud pubblico, un aumento rispetto al 48% del nostro ultimo rapporto.
- I rischi dello Shadow IT sono una preoccupazione per il 75% delle organizzazioni, eppure il 60% di esse consente ai dipendenti di scaricare dati sensibili su dispositivi personali, presumibilmente per motivi di produttività.
- Mettere insieme soluzioni puntuali non integrate comporta complessità di gestione e lacune nella sicurezza.
- I team di sicurezza sono sottoposti a un'eccessiva pressione in un ambiente difficile per le assunzioni.
Con così tanti problemi in gioco, non c'è da stupirsi che molte organizzazioni stiano segnalando violazioni, minacce e furti di dati. I criminali informatici sono ansiosi di approfittare della proliferazione di dati sensibili archiviati nel cloud.
Sono in gioco più dati sensibili
In generale, c'è stato un aumento del 50% del numero medio di servizi cloud pubblici in uso da parte delle organizzazioni che hanno partecipato al sondaggio. Il numero è passato da 20 nel 2019 a 30 nel 2022. Quasi la metà degli intervistati ha dichiarato di archiviare dati della concorrenza, informazioni personali sui clienti e/o documentazione interna in questi servizi. Più di un terzo sta conservando informazioni personali del personale, proprietà intellettuale proprietaria e/o informazioni di identificazione governativa. E circa un quarto degli intervistati archivia informazioni sulle carte di pagamento, password di rete e/o dati sanitari in questi servizi di cloud pubblico.
Il furto di questi dati potrebbe danneggiare la reputazione dell'azienda, la sua capacità di operare e la sua posizione finanziaria, soprattutto se le autorità di regolamentazione multano l'azienda per non aver protetto i dati. I requisiti di conformità sono in aumento insieme alle minacce informatiche, quindi è più importante che mai che le organizzazioni diano priorità alla sicurezza.
Per rafforzare ulteriormente questo aspetto, entro il 2024, Gartner prevede che il 75% della popolazione globale avrà i propri dati personali coperti da normative sulla privacy.
Le organizzazioni stanno aumentando gli investimenti nella cybersecurity
Per combattere questi problemi, le organizzazioni si rivolgono a una varietà di soluzioni, che vanno dalla formazione dei dipendenti in materia di cybersecurity (52%) e dalla creazione di piani di disaster recovery/DLP (47%) all'aumento degli investimenti in assicurazioni informatiche (47%). Il 41% ha dichiarato che intende orientarsi verso un modello di sicurezza a fiducia zero, e il 39% intende orientarsi verso un approccio a microservizi.
In particolare, il 42% delle organizzazioni nel nostro studio utilizza soluzioni cloud access security broker (CASB), il 28% utilizza soluzioni secure web gateway (SWG) e il 23% impiega misure di data loss prevention (DLP) e di crittografia una volta scoperto lo Shadow IT.
Oltre la metà delle organizzazioni (56%) prevede di aumentare gli investimenti nella cybersecurity. Sebbene questo sia molto positivo, è comunque indicativo del fatto che gli attuali investimenti nella cybersecurity non sono in grado di gestire le complessità di mantenere i dati al sicuro nel cloud. I dati del sondaggio lo confermano.
La nostra conclusione
Le nuove sfide richiedono nuovi approcci e soluzioni.
In alternativa alle complessità e alle potenziali lacune di sicurezza derivanti dai prodotti puntuali, raccomandiamo una soluzione secure service edge (SSE) che combini le soluzioni CASB, SWG e DLP con zero trust network access (ZTNA) e la protezione delle applicazioni cloud-native (CNAPP) in un'unica piattaforma integrata. Semplificando e integrando la sicurezza in una soluzione di un unico fornitore, la sicurezza può essere gestita centralmente da un unico cruscotto. Una soluzione SSE affronta la maggior parte dei problemi di sicurezza evidenziati nel nostro rapporto, massimizzando l'efficienza e la produttività dei team di sicurezza.
Come emerge dal sondaggio, una media di due ruoli per organizzazione sono responsabili della sicurezza dei dati nel cloud. Si tratta di CTO (48%), CIO (37%), Responsabili della sicurezza IT (35%), Responsabili della rete IT (29%), Manager IT (28%), CISO (22%) e Architetti IT (6%). Avere più persone responsabili per la stessa cosa può rendere confusa la proprietà dei compiti e portare a supposizioni pericolose. Una piattaforma SSE semplificherebbe notevolmente la designazione dei ruoli e delle responsabilità tra i membri del team, in modo da non lasciare nulla di intentato e da colmare le lacune di sicurezza rilevanti.
Il compito di proteggere i dati è più impegnativo che mai. Ma con una piattaforma SSE come base per un'architettura zero trust, questo lavoro può essere più facile e i vantaggi del cloud - scalabilità, risparmio e agilità - possono essere goduti senza sacrificare la sicurezza.
Scopra tutti i dettagli scaricando il Il dilemma dei dati: rapporto sull'adozione del cloud e sui rischi.
Skyhigh SecurityBlog sul Rapporto sul rischio del dilemma dei dati, preparato da Mary Karlton, Envision Technology Marketing, 22 marzo 2023, V1
Torna ai blog