Spesso le aziende ignorano come i Shadow Data possano compromettere l’intera sicurezza dell’azienda stessa.
Fermatevi un attimo, prendete carta e penna, e scrivete su un foglio la risposta a questa domanda: quante app in cloud vengono usate dai dipendenti della azienda nella/per la quale lavoro? Su, provate a pensare. Dropbox? Salesforce? Evernote? GDrive? Spotify?
Bene, la notizia è che il numero che avete scritto non è altro che la vostra percezione di quante app siano usate. Mediamente – da una approfondita ricerca di Blue Coat – il numero reale è 20 (venti!) volte superiore, in realtà Enterprise.
Volendo traslare la questione su aziende più piccole, PMI o startup, comunque il dato rilevante è che spesso vengono usate dal personale app in cloud senza l’esplicito consenso del reparto/responsabile IT.
Questo significa che il responsabile IT essendo all’oscuro dell’utilizzo di queste app – oppure sapendolo ma accettando la cosa – accetta il rischio di esporre dati sensibili in un luogo non sicuro.
Perché? Principalmente per alcuni motivi:
- Innanzitutto i servizi cloud più conosciuti hanno contratti che pongono la responsabilità della sicurezza del dato in mano al cliente, non al provider
- Il responsabile IT, non sapendo che i dati potrebbero essere – ad esempio – su Dropbox – non mette in atto sistemi di monitoring e security atti a prevenire danni.
- Non è detto che l’app sia in regola con il General Data Protection Regulation, ovvero il regolamento approvato dalla commissione europea che entrerà in vigore il 25 maggio 2018
- Spesso sono app che non hanno neppure l’autenticazione a 2 fattori
Volendo essere pragmatici e guardando cosa accade ogni giorno nelle aziende, due sono i numeri che ritengo degli di approfondimento:
- il 40% degli incidenti di sicurezza avviene per errore di un dipendente
- il 90% delle aziende che hanno perso i dati utilizzava file sharing non autorizzati da IT
E’ importante porre l’attenzione sul fatto che stiamo parlando di errori. E’ sufficiente che un dipendente salvi un documento excel contenente una macro o le credenziali di accesso ad un sistema, su Dropbox, per esporre l’azienda ad un rischio inutile. Prendo come esempio Dropbox perchè proprio questa estate sono state rubate le password di più di 60 milioni di utenti e diffuse in un file da più di 5GB.
Sulla base di questo, una delle prime azioni da mettere in campo è dotare l’azienda di un sistema di file sharing efficiente ed efficace, che limiti così i rischi aziendali. Le soluzioni possono essere varie e vanno scelte in base alle proprie esigenze e obiettivi.
Se vi interessa il report ShadowData, lo trovate qui.