Chi è responsabile della sicurezza del cloud ora?

L'uso dei servizi cloud in molte circostanze sta ottenendo supporto gestionale. Tuttavia, nei dipartimenti IT manca questo atteggiamento ottimista. Il rapporto Ponemon, sponsorizzato da Lumension, del 2014 State of Endpoint Risk suggerisce che l'uso del cloud computing, supportato dall'azienda o guidato dai dipendenti, ha aumentato l'angoscia tra i partecipanti al sondaggio - 19.001 professionisti IT negli Stati Uniti. La diapositiva che segue mostra che il 44 percento degli intervistati (aumento del 16 percento dal 2012 al 2013) ha identificato come principale preoccupazione l'utilizzo delle risorse di cloud computing. Il personale IT ha citato numerose preoccupazioni relative al cloud computing.

Fonte: Rapporto sullo stato degli endpoint 2014

Chi è responsabile dei dati nel cloud?

Il rapporto Ponemon ha rispecchiato gran parte di ciò che gli esperti di sicurezza hanno detto negli ultimi anni. Ciò che mi incuriosisce è chi è responsabile? Di chi è la colpa se succede qualcosa ai dati dell'azienda quando è nel cloud? Ci si potrebbe aspettare ogni sorta di menzione al riguardo, ma non lo è. Discussioni minori sulla responsabilità sono iniziate due o tre anni fa. Tuttavia, "attenzione dell'acquirente" è stata l'unica vera conclusione tratta.

Con la crescente preoccupazione del personale IT, potrebbe essere una buona idea vedere se qualcosa è cambiato nel reparto responsabilità. Nel 2012 ho intervistato diversi dirigenti di livello C. Durante le interviste, ho chiesto chi pensavano fosse responsabile della protezione dei dati aziendali residenti nel cloud. Ogni dirigente riteneva che la sicurezza dei dati non fosse più la loro preoccupazione una volta che i dati fossero sui server di qualcun altro.

L'articolo di Businessweek del 2012 Chi è responsabile della protezione dei dati nel cloud? di Sarah Frier ha affermato il mio sondaggio non scientifico. Nell'articolo, Frier ha citato Mario Santana di Verizon Communication, che ha dichiarato: "Alcune aziende assumono erroneamente che una volta che scelgono di archiviare dati su server esterni, non devono più preoccuparsi di salvaguardare tali informazioni".

Sulla base dei risultati di Ponemon e Businessweek, nel 2012 è emersa la disconnessione tra dirigenti di livello C e dipartimenti IT. Sono passati due anni e sono cambiate le opinioni di leader aziendali e professionisti IT sulla sicurezza e sui responsabili dei dati aziendali affidati a un fornitore di servizi cloud.

Cosa c'è di diverso nel 2014?

Nell'aprile del 2014, il Ponemon Institute ha pubblicato il suo terzo studio annuale Trends in Cloud Encryption sponsorizzato da Thales e-Security. L'indagine di Ponemon ha richiesto 4.275 manager aziendali e IT negli Stati Uniti, nel Regno Unito, in Germania, Francia, Australia, Giappone, Brasile e Russia. La principale spinta del sondaggio è stata l'esame del modo in cui le organizzazioni proteggono i propri dati quando vengono forniti ai fornitori di servizi cloud.

I ricercatori Ponemon hanno posto ai partecipanti due domande importanti per questa discussione:

• Quale percentuale delle organizzazioni trasferisce dati sensibili o riservati a servizi basati su cloud esterni?
• Chi è il principale responsabile della protezione dei dati sensibili o riservati trasferiti a un fornitore di servizi basato su cloud?

Innanzitutto, esaminiamo quale percentuale di organizzazioni sta inviando dati sensibili e riservati ai fornitori di servizi cloud. La diapositiva che segue mostra che per l'anno del sondaggio del 2013, il 53 percento degli intervistati trasferiva dati sensibili nel cloud, il 36 percento lo farà entro due anni e l'11 percento non utilizzava fornitori di servizi cloud. La cosa interessante è che i risultati degli ultimi tre anni sono rimasti simili.

Fonte: Trends in Cloud Encryption

Successivamente, per l'anno del sondaggio del 2013, chi è stato maggiormente responsabile della protezione dei dati sensibili o riservati trasferiti a un fornitore di servizi basato su cloud? Dipende. I partecipanti al sondaggio hanno affermato che la responsabilità dipende dal tipo di servizio cloud fornito: SaaS o IaaS / PaaS. La diapositiva che segue mostra le opinioni degli intervistati su chi era responsabile quando un'azienda utilizzava un ambiente SaaS. Nel 2013, il 54 percento ha ritenuto il fornitore di servizi cloud responsabile della sicurezza e il 24 percento gli utenti di servizi cloud responsabili, mentre il 19% ha ritenuto che la responsabilità dovesse essere condivisa. (Scopri di più nella scelta tra IaaS e PaaS: cosa devi sapere.)

Fonte: Trends in Cloud Encryption

La diapositiva successiva illustra l'opinione del rispondente su chi fosse responsabile quando un'azienda utilizza un ambiente IaaS / PaaS. Nel 2013, il 47% considerava la sicurezza una responsabilità condivisa, il 26% considerava gli utenti del servizio cloud come responsabili e il 22% riteneva che si trattasse di una responsabilità del fornitore di servizi cloud.

Fonte: Trends in Cloud Encryption

La linea di fondo? Le cose sono cambiate. Sembra che l'atteggiamento di "attenzione dell'acquirente" sia maturato insieme ai prodotti di servizi cloud. Ma come mi ha detto un avvocato esperto di Internet, le responsabilità sono determinate dai contratti, niente di più o niente di meno. Questo è qualcosa da tenere a mente per tutti coloro che sono coinvolti nei servizi cloud.