L’edizione europea del Thales Data Threat Report 2020 (realizzato da Idc) evidenzia come circa due terzi delle aziende percepiscano di essere vulnerabili ad attacchi ai loro sistemi. Potrebbe sembrare un dato alto, ma nella precedente edizione dello studio (2018) la percentuale era dell’86%.

Non sembra ci siano stati fattori che possano aver generato una maggior fiducia nei due anni trascorsi. Dal campione, composto da oltre 500 aziende, si evince che oltre la metà delle compagnie europee ha subito una violazione o ha fallito un audit di compliance nel 2019. Inoltre, oltre il 40% sta correndo in affanno dietro ai progetti di trasformazione digitale, spesso associati a scelte di migrazione o apertura al cloud, con conseguente aumento della complessità e maggior esposizione alle minacce.

Se circa l’80% utilizza più di un provider IaaS, solo il 40% ammette come la complessità così creata possa rendere i dati meno sicuri. Il problema è che la maggior parte delle organizzazioni non sta implementando i processi e le tecnologie più appropriate per proteggere i dati: “Praticamente tutte le realtà europee esaminate”, conferma Luca Calindri, country sales manager Thales Data Protection Italy & Malta, “ammette che ci siano dati in cloud non crittografati. L'Italia è un po' più lenta nei processi evolutivi, ma la crescita è stata forte negli ultimi tempi”.

Luca Calindri, country sales manager Thales Data Protection Italy & Malta

L’indagine è stata materialmente realizzata nello scorso novembre, quindi non tiene conto degli effetti generati dalla pandemia Covid-19. Da un lato, emerge come il 46% abbia piani di aumento degli investimenti in data security per i 12 mesi successivi, ma dall’altro il lockdown ha spostato l’attenzione verso la continuità dei servizi in remoto, con un conseguente aumento del peso del cloud e dei correlati rischi di sicurezza. Il 95% delle organizzazioni esaminate dispone di qualche applicazione SaaS e il 78% gestisce qui anche dati sensibili.

Ancora piuttosto diffusa è la convinzione che per la sicurezza si possa far leva su quanto più o meno garantito dai provider: “Nel mondo SaaS, in effetti, si può chiedere al fornitore la cifratura nativa, ma la vera chiave è la capacità dell’azienda di assicurarsi un controllo più diretto, ad esempio attraverso la bring your own encryption”, commenta Calindri.

Idc raccomanda di avere un approccio stratificato alla sicurezza dei dati, con una responsabilità condivisa nei contesti cloud. Inoltre, viene suggerito di adottare un modello zero-trust, che autentica e valida utenti e dispositivi che accedono a reti e applicazioni. Allo stesso tempo, sarebbe auspicabile l’impiego di soluzioni più robuste di data discovery, data loss prevention ed encryption: “Il 95% dei dati oggetto di furto non sono criptati e il 69% degli incidenti sono originati da credenziali deboli o rubate”, rileva ancora Calindri. “Per le aziende, è importante favorire la cloud adoption e semplificare la compliance, ma anche neutralizzare i danni superando il concetto di perimetro e integrando la cifratura per bloccare l'utilizzo dei dati eventualmente sottratti”.