Ultime notizie

Le aziende italiane hanno ancora problemi per essere conformi alle nuove regole sulla protezione dei dati (Una indagine Bitdefender)

September 2017


I CISO temono le falle di sicurezza nel cloud pubblico, anche se solo un’azienda su sei cifra tutti i propri dati

Due terzi dei professionisti IT in Italia sono preoccupati della sicurezza del cloud pubblico, e quasi il 10% non applica alcuna sicurezza per i dati sensibili memorizzati esternamente all’infrastruttura aziendale, in base a un recente sondaggio di Bitdefender. Circa il 40% dei CISO ha ammesso che il passaggio al cloud ha aumentato significativamente le dimensioni dei confini che devono difendere, mentre solo una azienda su sei cifra i dati già spostati.

Questi sono solo alcuni dei risultati di un sondaggio pubblicato oggi dal celebre fornitore di soluzioni di sicurezza, Bitdefender. Lo studio ha analizzato le pressioni derivanti dal passaggio al cloud, intervistando 1.051 responsabili IT di grandi aziende con oltre 1.000 PC e data center in Regno Unito, Stati Uniti, Francia, Italia, Svezia, Danimarca e Germania. Con il Regolamento Generale sulla Protezione dei Dati (GDPR) europeo che sarà in vigore da maggio 2018, a circa otto mesi di distanza, molte organizzazioni hanno ancora diversi problemi per essere conformi. I nuovi requisiti prevedono che i dati siano protetti adeguatamente e in caso di violazioni, le organizzazioni devono avere una capacità di notifica che rispetti gli standard richiesti dal GDPR.

La sempre maggiore adozione del cloud ibrido, un mix di servizi con cloud pubblico e data center privati, già adottato dal 70% delle aziende a livello globale, sta dando vita a nuove sfide di sicurezza, invitando i CISO ad adottare diverse tecnologie per affrontare exploit zero-day, minacce persistenti avanzate e altri devastanti tipi di crimini informatici.

Il cloud ibrido porta problemi ibridi

Circa l’87% dei CISO italiani ha dichiarato che la cifratura è il metodo più efficace per proteggere i dati memorizzati su cloud pubblico, seguita dai software di sicurezza (menzionati dal 69% degli intervistati) e backup (citati da circa la metà degli intervistati). 

In base al sondaggio, la maggior parte delle aziende italiane, circa la metà, protegge dal 41% al 70% dei dati memorizzati nel cloud pubblico, mentre solo il 17% cifra tutti i dati memorizzati. Un altro motivo di preoccupazione è che il 10% dei CISO non impiega alcuna sicurezza nel cloud pubblico, mentre il 32% non cifra i dati in transito dal proprio data center a uno esterno. 

Gli specialisti di sicurezza di Bitdefender consigliano che qualsiasi trasferimento di dati tra il client e il fornitore del servizio cloud sia cifrato per evitare attacchi man-in-the-middle, che potrebbero intercettare e decifrare tutti i dati trasmessi. Inoltre, ogni dato salvato a livello locale o nel cloud dovrebbe essere cifrato per assicurarsi che i criminali informatici non possano leggerlo, in caso di violazioni o accesso non autorizzato.

Per essere conformi al GDPR, le aziende devono identificare i dati che rientrano nel controllo dei regolamenti, come “qualsiasi informazione relativa a una persona fisica identificata o identificabile”, documentare come tali dati vengano protetti e creare piani di risposta in caso di incidente.
Il sondaggio ha mostrato anche che il 73% dei responsabili IT utilizza una soluzione di sicurezza sviluppata per endpoint per proteggere infrastrutture fisiche e virtuali, ma il 24% implementa strumenti separati. Di questi, il 70% ha indicato come motivazione la conformità con requisiti interni e regolamentari, il 69% lo fa per proteggere i dati sensibili di clienti e consumatori, mentre il 48% vuole impedire eventuali interruzioni derivanti dagli attacchi.

Sicurezza personalizzata contro le diverse armi informatiche

Gli specialisti di sicurezza di Bitdefender consigliano fortemente ai CISO di utilizzare una soluzione di sicurezza sviluppata appositamente per l’infrastruttura su cui sarà eseguita (fisica o virtuale), invece di un solo strumento, e questo per tre motivi principali:
- Genera un sovraccarico: installare una soluzione endpoint su diverse virtual machine hostate sugli stessi server ha un forte impatto sulle risorse, per la costante esecuzione di app ridondanti, come agenti di sicurezza.
- Riduce significativamente le prestazioni: gli strumenti di sicurezza concepiti per gli ambienti virtuali usano agenti ottimizzati che integrano una appliance virtuale di sicurezza sui server, così i file esaminati in precedenza non vengono ricontrollati ogni volta che un utente ne ha bisogno.
- La tipologia di attacchi è diversa: spesso gli ambienti virtuali devono affrontare armi informatiche decisamente più sofisticate, come minacce persistenti avanzate (tra cui Netrepser). La sicurezza per gli ambienti virtualizzati è sicuramente il modo più efficace per rilevare e affrontare questi strumenti complessi.

Ciò che è memorizzato nel cloud pubblico non deve diventare pubblico

Le aziende italiane memorizzano nel cloud pubblico soprattutto informazioni sui prodotti (37%), informazioni sui clienti (54%) e informazioni finanziarie (45%), mentre evitano di memorizzare esternamente quei dati che ritengono più sensibili, come ricerche su nuovi prodotti e concorrenti, rispettivamente al 36% e 26%, e proprietà intellettuali, al 22%. Quindi, le aziende cifrano più spesso informazioni e specifiche sui prodotti (36%), informazioni sui clienti (43%), informazioni finanziarie (35%), backup (22%), ricerche sui concorrenti (19%) e proprietà intellettuali (16%).

“Il rischio di non essere conformi al GDPR significa non solo avere una pubblicità negativa e un danno alla reputazione dell’azienda, com’è stato finora, ma anche sanzioni che possono arrivare a un totale del 4% dei ricavi globali annui”, ha dichiarato il Senior eThreat Analyst di Bitdefender, Bogdan Botezatu. “Con il 2017 si sono già stabiliti nuovi record in termini di portata degli attacchi informatici, perciò i consigli di amministrazione dovrebbero sapere che è solo questione di tempo prima che le loro organizzazioni vengano violate, in quanto molte mancano ancora di scudi di sicurezza efficaci.”

Per gli specialisti di sicurezza di Bitdefender, se un’azienda opta per una soluzione cloud ibrida, deve analizzare il tipo di dati che gestisce e valutare in base alla loro sensibilità, sia per l’azienda stessa che per i suoi clienti. I dati critici sia personali che privati relativi a proprietà intellettuali devono essere memorizzati in locale, con accesso garantito solo a personale autorizzato. Le organizzazioni che gestiscono dati sensibili o confidenziali, o dati relativi a proprietà intellettuali, devono assicurarsi che la propria infrastruttura cloud privata resti tale. Nessuno all’esterno della rete locale deve poter accedere a quei dati e solo il personale autorizzato deve poterli gestire. Il cloud privato deve essere completamente isolato dall’accesso pubblico a Internet per impedire a eventuali aggressori di accedere in remoto ai dati tramite vulnerabilità di sicurezza.

In termini di sfide di sicurezza, il 56% dei CISO italiani ha dichiarato che il cloud pubblico è la loro preoccupazione principale, mentre solo il 13% è preoccupato del cloud privato. Un altro 17% è ugualmente preoccupato per entrambi, mentre il 15% ammette che il cloud ibrido è la principale preoccupazione.

La mancanza di sicurezza nelle infrastrutture, la mancanza di prevedibilità e la mancanza di visibilità sono percepite come le principali sfide di sicurezza dell’adozione del cloud, come ha dichiarato la metà degli intervistati. 

Metodologia
Il sondaggio, condotto nel maggio 2017 da Censuswide per conto di Bitdefender, ha riguardato 1.051 responsabili IT di grandi aziende con più di 1.000 PC e data center in Regno Unito, Stati Uniti, Francia, Italia, Svezia, Danimarca e Germania.