La sicurezza del cloud è il nuovo campo di battaglia
Più dell’80% delle organizzazioni ha subito un incidente di sicurezza su una piattaforma cloud negli ultimi 12 mesi secondo una recente ricerca di Venafi. Cosa ancor più preoccupante, quasi la metà di queste organizzazioni ha riportato almeno quattro incidenti nello stesso periodo. Lo studio mostra anche che le organizzazioni hanno riscontrato incidenti di sicurezza a causa di accessi non autorizzati e configurazioni errate. Siamo tornati al vecchio adagio per cui le persone sono la causa più probabile della maggior parte dei problemi di sicurezza, inclusa la sicurezza cloud.
Una tendenza ancora più importante è che la maggior parte di ciò che fa la sicurezza IT aziendale si è spostata dai sistemi on-premise alle piattaforme basate su cloud. Questo è prevedibile se si considera il passaggio all’elaborazione e all’archiviazione dei dati dai sistemi tradizionali ai cloud pubblici che si è verificato negli ultimi anni. Le tecnologie di sicurezza sono decisamente migliori sui provider di cloud pubblico. Se utilizzate correttamente, queste protezioni offerte dalle piattaforme cloud dovrebbero essere più efficaci della tradizionale sicurezza on-premise. Purtroppo, come succede per altre tecnologie, se tutto è nelle mani di persone che non capiscono come utilizzare queste protezioni in modo efficace, ecco emergere gli errori di autorizzazione e le configurazioni errate di cui parlavamo poco prima.
I problemi inerenti le persone sono difficili da risolvere, considerando che la domanda di validi professionisti della sicurezza cloud sta superando l’offerta di un ampio margine. Le aziende si trovano di fronte sempre più spesso a una scelta tutt’altro che banale: continuare ad andare avanti senza le competenze necessarie per la trasformazione digitale, o fermare/rallentare la migrazione al cloud fino a quando la massa critica di competenze di sicurezza cloud può essere ottenuta o sviluppata internamente?
Anche il modo in cui viene eseguita la sicurezza cloud si sta trasformando. Come sottolinea il rapporto di Venafi, la responsabilità di guidare la sicurezza del cloud è cambiata, con il 25% dei team di sicurezza aziendali che aggiungono la sicurezza del cloud alle proprie responsabilità. Un altro 23% delle organizzazioni affida la sicurezza del cloud ai team operativi dell’infrastruttura cloud, mentre altre soluzioni includono team collaborativi o team devsecops. Le aziende stanno passando da centralizzate a decentralizzate, con molti team diversi che si fanno carico della sicurezza del cloud piuttosto che improntare tutto a un’unica entità olistica. E c’è il fondato sospetto che coloro che gestiscono sia la sicurezza aziendale tradizionale, sia la sicurezza cloud lo stiano facendo con gli stessi budget e risorse umane.
A tal proposito, la ricerca fornisce tre strade verso cui indirizzare un approccio orientato alla sicurezza cloud:
- Ottenere la giusta sicurezza cloud può significare rallentare prima di accelerare. Prendersi del tempo per recuperare competenze e modelli operativi più efficaci ridurrà infatti alcuni dei rischi che stiamo vedendo all’interno delle organizzazioni che si stanno muovendo troppo velocemente.
- Non è un problema tecnologico, quindi non crediate che una migliore tecnologia di sicurezza vi salverà. L’errore più grande è sprecare strumenti e denaro per problemi che non possono essere risolti da nessuno dei due.
- Skill, skill e ancora skill. C’è bisogno di un’efficace analisi del divario di competenze tra il vostro stato attuale e come invece dovrebbe essere. La maggior parte delle aziende non ha idea di nessuno dei due e quindi non ha una tabella di marcia per incamminarsi verso il miglioramento. Ciò porterà a più incidenti di sicurezza.