Non solo l'uso del cloud, ma anche gli attacchi informatici ai servizi cloud sono aumentati bruscamente nei primi quattro mesi di quest'anno. Ora sorge la domanda eretica: il cloud pone rischi di sicurezza per le aziende?
Secondo l'ultimo "Cloud Adoption & Risk Report" di McAfee, l'uso del cloud nelle aziende è aumentato del 50% nei primi quattro mesi di quest'anno. L'uso di strumenti di collaborazione cloud è addirittura aumentato di un enorme 600 per cento. Quindi apparentemente c'è voluta una pandemia, ma ora è un fatto indiscutibile: il cloud è arrivato sul mercato. Ma con la crescente diffusione del cloud, anche il numero di attacchi informatici è aumentato drasticamente. Secondo i risultati dello studio, i tentativi di login anomali nei servizi cloud sono triplicati, e gli attacchi esterni a questi servizi sono addirittura aumentati di sette volte. "Il rischio posto dagli attacchi dei criminali informatici agli ambienti cloud è molto più grande di quello posto dai dipendenti che devono abituarsi al nuovo ambiente di lavoro", nota Rajiv Gupta, vicepresidente senior per la sicurezza del cloud di McAfee.
I problemi di autenticazione e autorizzazione, i carichi di lavoro non mantenuti rivolti a Internet e lo storage mal configurato sono gli anelli più deboli nella sicurezza del cloud end-to-end, secondo un recente studio commissionato da Orca Security. La crescente complessità dei sistemi ICT, così come la crescente velocità della migrazione di alcune aziende al cloud, crea numerose opportunità aggiuntive per i criminali informatici di compromettere i server e infiltrarsi nelle aziende. Quindi l'adozione del cloud comporta già dei rischi per la sicurezza delle aziende?
Fonte immagine: Abtis
Non è il cloud il problema
Un'implementazione difettosa della migrazione al cloud o un concetto di sicurezza disomogeneo portano certamente ad un aumento dei rischi per la sicurezza, Thorsten Weimann, CEO e fondatore di Abtis, lo sa per esperienza. "Tuttavia, questo non è ovviamente dovuto al cloud, ma alla strategia di sicurezza informatica di molte aziende, che non è stata elaborata", si lamenta. Inoltre, molte aziende sottovalutano i pericoli e i vettori di attacco. "Per lo più, si considerano poco interessanti o troppo piccoli per un attacco mirato", spiega il fondatore di Abtis. Questo errore di valutazione, combinato con una strategia di sicurezza IT inesistente, porta alla fine a meccanismi di sicurezza inadeguati.
La crescente diffusione del cloud può di conseguenza portare a un aumento del rischio di sicurezza - ma solo a causa dei deficit appena menzionati sul lato aziendale. "In linea di principio, il cloud non pone rischi di sicurezza aggiuntivi rispetto alle infrastrutture on-premises di oggi. Piuttosto, risolve numerose sfide di sicurezza", è convinto Weimann. Dopo tutto, si tratta di proteggere le identità e le informazioni. Il tipo di implementazione è irrilevante.
La strategia di sicurezza passa in secondo piano
Le aziende sembrano cadere in una sorta di frenetico azionismo da cloud e si occupano solo di aree parziali della sicurezza IT, come la protezione dei dati, durante la migrazione. Qui c'è una mancanza di consigli appropriati. "Non serve a niente ottenere solo qualche licenza o comprare un pezzo di cloud a buon mercato. Ha bisogno di strategia, concetto, implementazione e, soprattutto, supporto continuo", sottolinea Weimann. E questa sembra essere la più grande sfida per le aziende quando si tratta di proteggere le infrastrutture e i carichi di lavoro del cloud. "Il tema della sicurezza informatica non è un progetto del dipartimento IT, ma dell'intera azienda. Non finisce, cambia e basta", spiega il CEO. Quindi, quando si passa al cloud, la strategia di sicurezza IT deve essere adattata e l'intera azienda deve essere sensibilizzata.
Fonte: Prosoft
Christina Decker, Head of Channel and Alliances di Trend Micro, è anche convinta che una strategia di sicurezza del cloud nelle aziende debba iniziare molto presto: "Nei progetti di trasformazione digitale, le aziende devono includere gli aspetti di sicurezza fin dall'inizio e incorporare valutazioni di sicurezza e di rischio". Molte aziende sono sopraffatte da questo e ricorrono all'aiuto di fornitori di servizi. Robert Korherr, CEO di Prosoft, nota anche questo: "Nell'ambiente delle PMI, c'è ancora una mancanza di consapevolezza per la sicurezza IT, nonostante la crescente digitalizzazione e l'aumento dei requisiti. Inoltre, c'è una mancanza di specialisti della sicurezza, in parte perché i costi del personale sono superiori alla media e le risorse sono scarse. Di conseguenza, le PMI beneficiano più della media dei servizi ospitati."
Il cloud porta con sé una maggiore sicurezza
Di conseguenza, un'infrastruttura cloud è sicura di per sé. Tuttavia, le aziende sono responsabili della sicurezza dei propri carichi di lavoro, dati e processi. Questa è la base del modello di responsabilità condivisa nel cloud. Ma anche qui, apparentemente, c'è ancora una mancanza di trasparenza e di consulenza in Germania. Secondo un recente studio commissionato da Trend Micro, l'82% delle aziende tedesche ha intensificato la migrazione al cloud. Tuttavia, quasi tutti (99%) sono convinti che il loro fornitore di servizi cloud offre una protezione sufficiente per i loro dati. Anche secondo un recente sondaggio di Arcserve, il 54% delle aziende in Germania assume che il loro fornitore di cloud sia responsabile della protezione e del recupero dei loro dati. Anche il CEO di Prosoft Korherr osserva il fenomeno e vede questa mancanza di trasparenza o ignoranza come il più grande errore che le aziende possono fare quando si tratta di sicurezza del cloud.
Paradossalmente, secondo l'indagine di Trend Micro, un gran numero di aziende (41%) vede attualmente la sicurezza come un ostacolo molto significativo all'adozione del cloud, anche se il cloud alla fine porta con sé una maggiore sicurezza. Una cosa è certa: L'adozione del cloud non è un processo una tantum. Piuttosto, richiede una gestione continua e una configurazione strategica. È lo stesso per la sicurezza aziendale: Non solo ora, ma anche in futuro, devono adattare la loro strategia di sicurezza alla trasformazione digitale ed espanderla di conseguenza in modo olistico.
>