Oracle e KPMG: l’IT teme più per la sicurezza aziendale che domestica

Author: Antonino Caffo Tom's Hardware

Ancora oggi, nonostante tutto, la sicurezza dei dati rappresenta una seria preoccupazione per i professionisti IT. Non è strano dunque che tale dato emerga, fortemente, dal Report globale 2020 KPMG Oracle sulle minacce in cloud, il cosiddetto Cloud Threat Report.

Lo studio, che ha coinvolto 750 professionisti IT e di cybersecurity in tutto il mondo, mette in evidenza un approccio difficoltoso alla cybersecurity, con servizi non configurati correttamente e confusione per quanto riguarda i nuovi modelli di sicurezza in cloud.

In questo modo si determina una crisi di fiducia che sarà risolta solo dalle aziende in grado di integrare la security all’interno della propria cultura aziendale. Secondo il report, i professionisti IT sono tre volte più preoccupati per la sicurezza dei dati finanziari e della proprietà intellettuale dell’azienda rispetto alla sicurezza di casa.

Questi amministratori nutrono preoccupazioni sui fornitori di servizi cloud; l’80% è preoccupato per il fatto che i fornitori di servizi cloud con cui intrattengono rapporti commerciali diventeranno concorrenti nei loro mercati principali.

Il 75% dei professionisti considera il cloud pubblico più sicuro dei propri data center, tuttavia il 92% dei professionisti IT non crede che la propria azienda sia ben preparata per proteggere i servizi su cloud pubblico.

Quasi l’80% invece afferma che le recenti violazioni dei dati subite da altre aziende hanno contribuito a far aumentare l’attenzione della loro azienda sulla sicurezza dei dati per il futuro

Si utilizzano quindi un insieme di vari prodotti per la cybersecurity per gestire i problemi di sicurezza dei dati, ma devono affrontare enormi difficoltà poiché questi sistemi raramente vengono configurati correttamente.

Il 78% delle aziende utilizza più di 50 soluzioni diverse per la sicurezza informatica; il 37% utilizza oltre 100 prodotti. Le società che hanno rilevato servizi cloud non configurati correttamente hanno riscontrato 10 o più incidenti di perdita di dati nell’ultimo anno.

Non a caso, il 59% delle aziende con i dipendenti con account cloud “privilegiati” (con opzioni di sicurezza particolari) hanno avuto le credenziali compromesse da un attacco di spear phishing. Quasi il 90% delle intervistate che usano servizi SaaS e il 76% usano lo IaaS; il 50% si attende di spostare nei prossimi due anni tutti i dati in cloud.

Mentre i modelli di sicurezza a responsabilità condivisa generano confusione: solo l’8% degli specialisti di sicurezza IT dichiara di comprendere pienamente il modello di responsabilità condivisa. Il 70% dei professionisti IT pensa che servano troppi strumenti specializzati per rendere sicuro il loro perimetro aziendale nel public cloud. Il 75% ha sperimentato perdite di dati da servizi cloud più di una volta.

«Per affrontare le crescenti preoccupazioni delle aziende su sicurezza e fiducia, i fornitori di servizi cloud e i team IT devono lavorare insieme per creare una cultura che metta la sicurezza al primo posto».

«Questo significa anche assumere, formare e trattenere in azienda professionisti della sicurezza IT competenti, e migliorare continuamente processi e tecnologie per mitigare le minacce in un mondo sempre più digitalizzato» spiegano i ricercatori.

Il 73% delle aziende ha un CISO o prevedono di ingaggiarne uno con più competenze di sicurezza cloud; oltre la metà (il 53%) ha inserito in organico un nuovo tipo di professionista, il Business Information Security Officer (BISO) che collabori con il CISO e aiuti a integrare nel business la cultura della sicurezza.

L’88% dei professionisti IT pensa che entro i prossimi tre anni la maggior parte dei servizi cloud di cui disporrà l’azienda useranno funzioni di patching e aggiornamento automatizzate e intelligenti per migliorare la sicurezza.

L’87% degli interpellati ritiene invece che AI/ML siano un “must have” per i nuovi acquisti di soluzioni di sicurezza, allo scopo di proteggersi meglio da frodi, malware, errori di configurazione.