applicazioni cloud: i rischi per la sicurezza dei dati

13/09/2016 18:18:15

Cloud e sicurezza: la sfida degli shadow data

La diffusione delle applicazioni cloud usate nelle aziende per memorizzare e condividere file ha permesso di compiere un grande passo avanti in termini di efficienza organizzativa e fluidificazione dei processi, ma cosa ne è della protezione e sicurezza dei dati?
Mentre le modalità di svolgimento di attività e procedure migliorano, privacy, riservatezza e trattamento delle informazioni subiscono un duro colpo.

Protezione dei dati nel cloud: a che punto sono le applicazioni?

Con questa nuova sfida in materia di privacy imposta dai sistemi cloud, gli analisti di tutto il mondo cominciano a chiedersi come si comporteranno le aziende quando, il 25 maggio 2018, entrerà in vigore il General Data Protection Regulation (GDPR).
Atto normativo emanato dall’Unione Europea, con il GDPR il legislatore comunitario si pone l’obiettivo di rafforzare la protezione dei dati e impone alle aziende il rispetto degli obblighi relativi al trattamento delle informazioni personali dei cittadini europei - incluse quelle archiviate nelle applicazioni cloud aziendali. Sembra che molte imprese dovranno lavorare sodo per allinearsi agli standard europei, stando ai dati diffusi dal report 1H 2016 Shadow Data Threat.

La ricerca ha analizzato oltre 5.000 applicazioni cloud aziendali e 108 milioni di documenti: il risultato è che quasi un quarto di tutti i file archiviati sono condivisi e circa il 12% di questi contiene informazioni riservate.
Solo il 2% delle applicazioni cloud, inoltre, è già pienamente conforme ai requisiti imposti dal nuovo regolamento sulla privacy.
Tra queste spiccano i big del settore: Microsoft Office 365, Google Drive, Salesforce, Box e Dropbox.
Il 25% delle applicazioni esaminate, invece, è parzialmente promosso, soddisfacendo solo alcune delle caratteristiche previste dalla normativa.

Shadow data: la sfida più grande per le imprese

Il report evidenzia che uno degli ostacoli maggiori incontrati dalle organizzazioni nei loro tentativi di limitare e prevenire la perdita o l’esposizione non conforme di dati sensibili è rappresentata dagli shadow data.
Questi sono dati difficilmente tracciabili che offuscano la visibilità del cloud e rendono impossibile averne il pieno controllo.
Un esempio? I contenuti caricati, archiviati e condivisi dagli utenti tramite applicazioni cloud non autorizzate o sanzionate. La gestione di simili file rappresenta un serio problema per un’organizzazione, che non è nemmeno in grado di individuare quali dati sono oggetto di trasferimento e sharing non conforme alle regole.

Se anche un’impresa imponesse ai dipendenti di utilizzare solo applicazioni cloud riconosciute e rispondenti alla normativa sulla privacy, secondo l’indagine il rischio di violazioni e di conseguente perdita o esposizione di dati sensibili sarebbe comunque dietro l’angolo.

Protezione dati: il rischio reale cui sono esposte le aziende

Stando così le cose in fatto di conformità delle applicazioni cloud alla normativa sulla privacy e di scarsa visibilità sugli shadow data, la ricerca fa il punto sul rischio reale corso dalle aziende in materia di protezione dei dati. All’interno delle organizzazioni si fa uso di un numero di sistemi cloud 20 volte superiore a quello stimato dai loro vertici: la media è di ben 841 applicazioni attive lungo le reti estese aziendali e, tra queste, l’1% è ancora vulnerabile agli exploit.

Quanto alla tipologia di attività critiche che hanno luogo nei cloud, per il 63% si tratta di tentativi di sottrazione dati, per il 37% di azioni di hackeraggio rivolte agli account degli utenti: il 2% degli account, infatti, subisce le conseguenze di queste attività in seguito alla sottrazione delle credenziali d’accesso.

A rincarare la dose, ci sono i dati di una recente indagine condotta da Gemalto: è protetto da crittografia solo un terzo dei dati sensibili archiviati negli ambienti cloud, e oltre il 50% dei 3.400 esperti di sicurezza IT intervistati per l’occasione dichiara che la propria organizzazione non ha una strategia definita di gestione della sicurezza, rispetto della privacy e protezione dei dati nel cloud.

categorie News Aziende , privacy