Cloud e sicurezza: secondo la maggior parte dei professionisti non si può più fare a meno dell'AI

Oracle ha recentemente pubblicato il Report globale 2020 KPMG Oracle sulle minacce in cloud, uno studio realizzato intervistando 750 professionisti IT impiegati in aziende operanti in USA, Canada, Francia, Regno Unito, Australia, Giappone e Singapore. 

Il quadro che emerge evidenzia come uno dei principali timori per i responsabili di sicurezza sia la complessità delle attuali infrastrutture aziendali: il misto di tecnologie on-premise e in cloud diventa sempre più difficile da mettere al sicuro. Pesano molto le incertezze relative ai modelli di responsabilità condivisa. 

Il cloud pubblico è più sicuro del data center? Sì, ma solo a certe condizioni

Il dato più indicativo è il fatto che nonostante il 75% dei professionisti consideri il cloud pubblico più sicuro, il 92% di questi affermi allo stesso tempo che l'azienda per cui lavora non è preparata a proteggere queste informazioni. Apparentemente può sembrare una contraddizione, ma andando ad analizzare meglio le risposte, è facile comprendere il motivo di questa preoccupazione, dovuto per lo più a due fattori:

1) Errori di configurazione, soprattutto relativi alla gestione degli privilegi degli account, alla mancata attivazione dell'autenticazione a più fattori e per il rischio di esporre server o altri carichi di lavoro pubblicamente.

2) Il numero ormai ingestibile di soluzioni di sicurezza attive in azienda, che supera quasi sempre (nel 78% dei casi) i 50 prodotti e spesso (37%) arriva a superare i 100.

Nel 59% dei casi, è già accaduto che dei malintenzionati ottenessero le credenziali di accesso di questi servizi grazie ad attacchi di spear phishing molto mirati, anche se il principale timore è quello relativo agli errori di configurazione, come account con troppi privilegi, server esposti e l'assenza della 2FA, l'autenticazione a due fattori.  

A questo si aggiunge un aspetto da non sottovalutare: l'80% del campione è preoccupato per il fatto che i fornitori di servizi cloud con cui intrattengono rapporti commerciali diventeranno concorrenti nei loro mercati principali. 

Di chi è la responsabilità dei dati? 

Ormai è impossibile fare a meno del cloud, tanto che il 90% degli intervistati usa servizi SaaS e il 76% IaaS. Il passo successivo è quello di spostare tutti i dati sul cloud entro i prossimi due anni, un obiettivo inseguito dal 50% del campione. 
In questi casi, il modello di sicurezza è a responsabilità condivisa fra l'azienda e il provider di servizi cloud, ma questi modelli non sono particolarmente chiari: solamente l'8% del campione ha dichiarato di comprenderlo a pieno. La maggioranza (70%) in ogni caso insiste sul fatto che mettere in sicurezza queste informazioni sia complicato e richieda un numero troppo elevato di strumenti: strumenti indispensabili, se si considera il fatto che 2 persone su 3 ammettono di aver "perso" dati salvato sul cloud in più di un'occasione. 

La soluzione a tutti questi problemi potrebbe arrivare dall'AI, che viene indicata come indispensabile dall'87% del campione: solo tramite l'AI, secondo gli esperti, è infatti possibile mettere ordine in tanta complessità e ridurre enormemente i problemi di configurazione che possono esporre i dati pubblicamente. La tecnologia, però, non basta: in molti casi, infatti, si sta valutando di affiancare alla figura del CISO (Chief Information Security Officer) quella del BISO (Business Information Security Officer), che lo dovrebbe supportare a diffondere la cultura della cybersecurity ai vari livelli dell'azienda. 

"Portare informazioni critiche in cloud, negli ultimi due anni, si è rivelata una scelta promettente – ma si è creato un mix abbastanza “mostruoso” di strumenti e processi di sicurezza che ha portato a frequenti e costosi problemi di errori di configurazione e perdite di dati. Si stanno facendo dei progressi” - ha dichiarato Steve Daheb, Senior Vice President, Oracle Cloud - "L'adozione di strumenti che sfruttano l'automazione intelligente a chiudere lo skill gap, sono nella lista della spesa IT per l’immediato futuro e il top management sta lavorando per portare tutte le linee di business ad adottare una cultura aziendale che metta al primo posto la sicurezza”.

Il rapporto completo di Oracle è liberamente consultabile a questo indirizzo.