Noi di Sophos crediamo che la crittografia non sia mai abbastanza. In parole povere, la crittografia è il modo migliore per proteggere le informazioni da perdite o furti, l’ultima linea di difesa contro gli attacchi informatici e l’esposizione accidentale dei dati.
Eppure, ancora sentiamo frequentemente di aziende che non provvedono a criptare i loro dati, spesso dopo una violazione devastante. Sfortunatamente, lo stato della sicurezza dei dati oggi è molto scarso – stando all’ultimo Verizon Data Breach Investigations Report, nel 2014 sono state compromesse 700 milioni di registrazioni.
Per scoprire come mai ci sono così tante violazioni della sicurezza dei dati, abbiamo condotto un sondaggio tra 1700 decision maker IT in sei diversi paesi e in svariati settori, chiedendo loro che tipi di dati vengono criptati dalle loro organizzazioni e perché queste ultime non provvedono a criptare tutto ogni volta.
I risultati del nostro sondaggio “The State of Encryption Today” sono istruttivi e ci fanno capire maggiormente dove le società possono fare meglio.
Alcuni dei risultati più preoccupanti del sondaggio rivelano che, per quanto molte società prendano molto seriamente la sicurezza dei dati dei loro clienti, i dipendenti non sono altrettanto protetti.
Dati privati e altamente sensibili dei dipendenti, comprese coordinate bancarie, file delle risorse umane (HR) e dati sanitari personali, sono frequentemente privi di protezione mediante crittografia.
Per esempio, il 31% delle società intervistate che archiviano questo tipo di dati ha ammesso che le coordinate bancarie dei loro dipendenti non sono sempre criptate e il 43% non cripta sempre le registrazioni HR relative ai dipendenti. Inoltre, quasi la metà (47%) delle società che archiviano informazioni sanitarie sui dipendenti, non provvedono sempre a criptare queste registrazioni.
Se le violazioni dei dati dei clienti sono quelle che arrivano più spesso nelle prime pagine dei giornali, le società hanno anche l’obbligo – e potrebbe essere loro imposto dalla legge – di proteggere anche i dati sensibili dei dipendenti. Questa è un’area della sicurezza dati troppo spesso trascurata.
Anche i dati societari sono a rischio. Quasi un terzo (30%) delle organizzazioni intervistate non provvede sempre a criptare i propri dati finanziari e il 41% cripta in modo non uniforme file contenenti preziose proprietà intellettuali, nonostante il rischio crescente di spionaggio economico.
Un altro fatto preoccupante è che molte organizzazioni non riconoscono che i diversi tipi di crittografia – full-disk e file – non sono e non dovrebbero escludersi reciprocamente.
Per quanto la crittografia completa del disco sia essenziale in caso di dispositivi persi o rubati, essa non protegge i dati una volta che questi lasciano il dispositivo. La crittografia a livello di file è spesso necessaria e complementare, così che i dati siano sempre protetti: a riposo, in transito e quando vengono archiviati fuori dispositivo. Eppure, soltanto il 36% delle società intervistate ha affermato di usare entrambe le crittografie.
Intanto, la sicurezza dei dati cloud è un’area che spinge a una maggiore adozione della crittografia. Più di otto società su dieci (84%) hanno espresso preoccupazioni sulla sicurezza dei dati archiviati nel cloud. Tuttavia, mentre l’80% utilizza il cloud per l’archiviazione, soltanto il 39% cripta tutti i file archiviati con questa modalità.
Questo ci porta alla domanda cruciale seguente – perché così tante società non proteggono tutti i tipi di dati, dovunque e sempre?
Le società citano budget, dubbi sulle prestazioni e mancanza di conoscenze come i tre ostacoli principali all’implementazione di una soluzione di crittografia.
Sfortunatamente, questi risultati non mi sorprendono perché troppe persone ritengono a torto che la crittografia sia troppo complicata o troppo costosa da applicare. A dispetto di questi dubbi, la realtà è che le soluzioni di crittografia moderne e di nuova generazione sono semplici da utilizzare ed efficaci in termini di costo.
Nel nostro sondaggio, alcuni risultati positivi mi fanno sperare che le società stiano cominciando a comprendere il valore della crittografia e ad andare nella giusta direzione.
La maggioranza dei professionisti IT intervistati ha riconosciuto che le loro società devono fare meglio nella crittografia dei dati di dipendenti, clienti e societari. La buona notizia è che il 69% di essi prevede di accrescere l’utilizzo della crittografia nei prossimi due anni.
Il sondaggio The State of Encryption Today conferma che, se da un lato la crittografia è ampiamente usata e accettata dalle aziende, ci sono ancora delle lacune critiche.
La promessa di fare meglio “la prossima volta” arriva troppo tardi, una volta che il danno è già stato fatto. Per le organizzazioni e gli individui vittime della violazione di dati, un’unica violazione è già troppa.
Per maggiori informazioni sulle sfide e le opportunità per la protezione dei dati nella vostra organizzazione, vi raccomando di leggere i risultati completi e l’analisi del nostro sondaggio all’indirizzo sophos.com/encryptionsurvey. Abbiamo inoltre messo a vostra disposizione su sophos.com/encrypt varie risorse gratuite come video e guide che vi aiuteranno a proteggere meglio tutti i vostri dati.
Lascia un commento