Quanto ne sanno le aziende oggi di cybersicurezza? E quanto ne sono preoccupate? Quanto riescono a garantire la protezione dei dati che gestiscono, compresi quelli personali di utenti e dipendenti?
Questo è quello che la Cloud Security Alliance, un’organizzazione senza scopo di lucro che si occupa di sensibilizzare le aziende su cloud e cybersicurezza, ha voluto scoprire attraverso una survey condotta nel luglio 2022.
Quale l’obiettivo dell’indagine?
L’obiettivo principale dell’indagine è stato quello di reperire informazioni sull’attuale stato di consapevolezza, sul livello di conoscenza e di interesse riguardanti la sicurezza dei dati nel cloud, da parte delle aziende.
In particolare, si voleva comprendere quanto le organizzazioni fossero consapevoli di:
- approcci alla sicurezza dei dati;
- priorità per la sicurezza dei dati;
- lo stato attuale dei dati sensibili e dark data;
- preoccupazioni per le violazioni dei dati;
- difficoltà di compliance normativa.
BigID, società americana di gestione dati, ha promosso il progetto e ha co-sviluppato il questionario con gli analisti di ricerca CSA. Il sondaggio si è svolto online e ha raccolto 1663 risposte da professionisti IT e della sicurezza delle organizzazioni di varie dimensioni e di diversi settori.
Cybersicurezza nel cloud
Un dato sicuramente rilevante che si può estrarre dalla ricerca è che la maggior parte delle aziende non si sente abbastanza tranquilla nel mantenere dati in infrastrutture online, soprattutto se si tratta di dati sensibili.
Infatti, il 40% delle organizzazioni indica di avere il 50% o meno dei propri dati sensibili sulla “nuvola” e di non sentire di proteggerli nel modo adeguato. Solo il 4% invece mantiene tutti i dati sensibili nel cloud e sente di avere gli strumenti adeguati a proteggerli. La difficoltà evidenziata non è solo quindi il livello di protezione che stentano a garantire ai dati che collocano online, ma è anche nella tracciabilità di questi dati, soprattutto quelli personali. Dalla survey emerge infatti che sono diversi gli attori che possono avere accesso ai dati che le aziende raccolgono, e sembra che nella maggior parte dei casi non esistano grandi distinzioni di livelli di sicurezza. Questo vuol dire che gestori di terze parti porterebbero tranquillamente avere totale accesso a informazioni personali detenute dall’azienda stessa, allo stesso modo di un dipendente che magri lavora con questi dati. Questo è preoccupante soprattutto dal punto di vista di sicurezza e di gestione della privacy, rendendo così più alto il rischio sia di violazione dei dati, che di attacchi di cybersicurezza come i data breach.
Il problema dei dark data
Un altro problema scottante sotto diversi punti di vista, è la proliferazione e la gestione dei dark data.
Oltre la metà delle aziende (79%) è preoccupata per la loro proliferazione e non sa come gestirli.
Con il termine dark data si intendono i dati raccolti che vengono archiviati senza essere analizzati e nemmeno senza essere utilizzati. La mancata gestione di questo avvenimento da parte delle aziende dipende principalmente da tre fattori:
- nel 50% dei casi per dipendenti con mancanza di competenze;
- nel 47% dei casi per una mancanza di cooperazione tra i dipartimenti che gestiscono i flussi dei dati;
- Nel 44% mancanza di personale.
L’unica soluzione per questo problema è costruire dipartimenti con un personale adeguatamente formato. I dark data non creano solo problemi interni all’azienda, ma è stato stimato che abbiano anche un enorme impatto ambientale, per questo è opportuno fare sempre una pulizia dei dati presenti nel cloud per non occupare spazio ed energia inutilmente.
La paura delle violazioni
La maggior parte delle aziende che non ha subito violazioni al cloud nell’ultimo anno, il 62%, ha paura di essere soggetto a violazione nei prossimi 12 mesi, solo il 22% si sente sicura e abbastanza protetta. Risulta essere quindi prioritario da parte delle organizzazioni di attuare delle strategie per aumentare la sicurezza dei sistemi informatici. In primis limitando l’accesso di terze parti ai dati sensibili, riprendendo così il controllo delle transizioni.
Cloud e GDPR
Oltre alle paure e alla poca sicurezza percepita dalle aziende che sfruttano i sistemi cloud, un altro aspetto di cui si devono preoccupare del GDPR. Ad oggi le aziende e devono sottostare anche a obblighi di compliance, quello più importante di tutti quello relativo alla protezione dei dati personali. In quest’ottica il GDPR (General Data Protection Regulation) prescrive ai titolari del trattamento specifici doveri, tra cui:
- sicurezza;
- trasferimento dei dati personali su idonea base giuridica;
- notifiche in caso di Data Breach.
Se ottemperare questi obblighi è facile per le grandi aziende, diventa sempre più difficile per i piccoli.
Nel paragrafo 1 dell’art. 28, del GDPR troviamo specificato che:
“Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”.
Come emerge da rapporto Clusit 2022, quando l’azienda si avvale di un cloud provider dovrà informare, essere quindi trasparente, i soggetti interessati i quali devono sapere sin dall’inizio che i loro dati saranno trasmessi e trattati da un provider esterno. Ciò dovrà emergere dall’informativa sulla privacy. Ne abbiamo parlato qualche tempo fa nel nostro podcast con una professionista del settore. Ascolta la puntata del podcast di Tutela Digitale: A che punto siamo con la Cybersicurezza? Con Sofia Scozzari.
Un aspetto meno noto ma non meno preoccupante; la Web Reputation
Non se ne parla spesso, ma la cybersicurezza può aiutare a garantirete anche la Web Reputation di persone e aziende. Se a causa di attacchi di cyber security viene lesa la tua web reputation o la brand reputation di un marchio, questo può portare a seri danni di immagine e, di conseguenza, di business.
Gli esperti di Tutela Digitale sono in grado di aiutare privati e aziende a rimettere in sesto la propria reputazione online, sia con il monitoraggio della Web Reputation, che con la riscrittura ed ottimizzazione dell’immagine online. Inoltre possono occuparsi della rimozione di eventuali notizie negative sul web per persone o aziende.
Scopri i nostri servizi o contattaci scrivendo a info@tuteladigitale.it
Per approfondire
https://cloudsecurityalliance.org/artifacts/understanding-cloud-data-security-and-priorities/
https://www.bigdata4innovation.it/big-data/cloud-computing-cose-principali-tendenze-nel-2023/
https://www.privacy-regulation.eu/it/28.htm#:~:text=Con%20riguardo%20alla%20lettera%20h,relative%20alla%20protezione%20dei%20dati.
