Netskope ha rilasciato una nuova ricerca che analizza in dettaglio la proliferazione delle applicazioni cloud utilizzate nelle aziende di tutto il mondo. “Netskope Cloud and Threat Report: Cloud Data Sprawl” ha rilevato che l’uso di applicazioni cloud all’interno delle organizzazioni continua a crescere: dall’inizio del 2022 è già aumentato del 35%. Un’azienda media tra i 500 e i 2.000 utenti carica, crea, condivide o archivia dati in 138 applicazioni diverse e utilizza una media di 1.558 applicazioni cloud distinte ogni mese.
Il report ha rilevato che più di 1 utente su 5 (22%) carica, crea, condivide o archivia dati in applicazioni e istanze personali: Gmail, WhatsApp, Google Drive, Facebook, WeTransfer e LinkedIn sono classificate come le applicazioni e le istanze personali più utilizzate.
Un’applicazione personale, come WhatsApp, è una app che prevede l’utilizzo esclusivamente da un account personale. A differenza di un’istanza personale che costituisce invece un account personale di un’applicazione gestita anche dall’organizzazione. Ad esempio, in un’organizzazione che utilizza Google Workspaces, l’account Gmail personale di un utente è un’istanza personale.
Inoltre, nel report si evidenzia una continua tendenza al rischio che proviene dall’interno dell’azienda (insider risk): il report ha rivelato che 1 utente su 5 (20%) carica una quantità insolitamente elevata di dati nelle applicazioni personali sopra evidenziate nei 30 giorni che precedono la fuoriuscita da un’organizzazione, dato che segna un aumento del 33% per lo stesso periodo rispetto all’anno scorso.
Come sottolineato in una nota ufficiale alla stampa da Ray Canzanese, Threat Research Director, Netskope Threat Labs: «Le applicazioni cloud hanno contribuito ad aumentare la produttività e a consentire il lavoro ibrido, ma hanno anche causato una crescente proliferazione di dati che mette a rischio informazioni sensibili. Le applicazioni e le istanze personali sono particolarmente preoccupanti, dal momento che gli utenti mantengono l’accesso ai dati archiviati in quelle istanze anche molto tempo dopo aver lasciato l’organizzazione. Le misure di sicurezza proattive, in particolare i controlli delle policy che limitano l’accesso ai dati sensibili solo agli utenti e ai dispositivi autorizzati e impediscono il caricamento di dati sensibili su applicazioni e istanze personali, possono aiutare a ridurre i rischi di perdita o esposizione di dati sensibili».
Di seguito alcuni dei risultati più significativi del nuovo report:
- L’utilizzo delle applicazioni personali è più basso nei servizi finanziari e più alto nel retail: mentre quasi 4 utenti su 10 (39,1%) nel settore retail caricano dati su applicazioni e istanze personali, il settore dei servizi finanziari riesce meglio a limitare il flusso di dati nelle applicazioni e nelle istanze personali, con meno di 1 utente su 10 (9,6%).
- Sempre più utenti stanno caricando, creando, condividendo o archiviando dati in applicazioni cloud: la percentuale di utenti con attività di dati nelle applicazioni cloud è aumentata dal 65% al 79% nei primi cinque mesi del 2022. Le categorie di applicazioni cloud più utilizzate all’interno delle organizzazioni sono quelle di Cloud Storage, Collaboration e Webmail.
- Le organizzazioni utilizzano molte applicazioni con funzionalità che si sovrappongono: delle 138 applicazioni usate da un’organizzazione con 500–2.000 utenti per caricare, creare, condividere o archiviare dati, si contano in media 4 applicazioni Webmail, 7 applicazioni di archiviazione cloud e 17 applicazioni di collaborazione. Questa sovrapposizione può portare a problemi di sicurezza, come configurazioni errate, perdita di efficacia delle policy, e policy di accesso incoerenti.
Come concluso da Canzanese: «Le organizzazioni di solito si sorprendono quando scoprono quante applicazioni in sovrapposizione stanno utilizzando. Ottenere questa visibilità è un passo importante per aiutare a frenare l’espansione incontrollata del cloud e ridurre i rischi che rappresenta per i dati sensibili. Una volta che si viene a conoscenza di come si accede ai dati, è possibiile applicare policy che riducono i rischi per i dati senza compromettere la produttività. La sicurezza e la produttività dei dati non devono essere un compromesso».