Sembrano esserci contraddizioni e interpretazioni molto diverse circa le responsabilità relative alla sicurezza cyber nel cloud pubblico. Secondo un recente studio commissionato da Palo Alto Networks, quasi un terzo degli intervistati ritiene erroneamente che sia il cloud service provider il responsabile principale della sicurezza dei dati della sua azienda che risiedono in un’infrastruttura public cloud. Tuttavia, se il modello di responsabilità condivisa impone ai service provider di rispondere in merito all’infrastruttura cloud, le imprese restano del tutto responsabili dei loro dati e applicazioni.

Dallo studio, che ha coinvolto 500 decisori IT con responsabilità sulla cybersecurity in otto Paesi dell’area EMEA (Italia compresa), emerge come l’83% dei professionisti della cybersecurity abbia espresso fiducia completa nei propri cloud service provider per quanto riguarda l’infrstruttura. Tuttavia, solo il 51% conferma di essere a conoscenza del modello di responsabilità condivisa. Uno su dieci ritiene erroneamente che tale modello faccia riferimento a cloud provider differenti che condividono l’onere della security.

Anche se le responsabilità circa la sicurezza di dati e infrastrutture nel cloud non è chiara, non ci sono esitazioni relative all’utilizzo di molteplici ambienti cloud service provider contemporaneamente. La maggior parte degli intervistati ha infatti riferito che la loro organizzazione si avvale di due cloud provider e circa il 44% ne ha tre o più.

Altri risultati confermano che i professionisti della cybersecurity desidererebbero maggiore visibilità sulle competenze di sicurezza dei cloud service provider. Tuttavia, oltre la metà (52%) ritiene che la propria azienda non abbia svolto sufficiente due diligence circa i requisiti di cybersecurity nella scelta di un cloud provider, suggerendo che questo aspetto potrebbe non essere stato valutato in maniera appropriata.

“Il sondaggio evidenzia una chiara anomalia. I professionisti della sicurezza si fidano dei cloud service provider, ma non sono certi circa le loro responsabilità in termini di protezione di dati e applicazioni. I team non possono assumere che il livello di sicurezza offerto dai public cloud vendor fornisca una protezione coerente e olistica. Oggi vediamo che solo un professionista su dieci ritiene di avere le capacità per mantenere policy di sicurezza coerenti nell’intero ambiente IT, anche dove ci sono diversi cloud; una situazione che deve migliorare in modo significativo” ha dichiarato Greg Day, VP e CSO EMEA di Palo Alto Networks.