Per fare fronte alle sfide poste dalle criticità legate alla pandemia, le aziende hanno accelerato i progetti di trasformazione digitale ed il cloud si è rivelato digital enabler chiave per superare le difficoltà al punto che gli analisti stimano intorno al 25% la crescita nell’adozione di questa architettura, vantaggiosa, ma allo stesso tempo non priva di complessità da indirizzare. Basta pensare alle problematiche sulla sicurezza, sulle conformità nel trattamento dei dati, ed alla articolata gestione degli scenari multicloud.
Per indagare questi aspetti, Palo Alto Networks ha condotto una ricerca focalizzata proprio sulle principali sfide che attendono la “comunità della sicurezza” dal titolo State of Cloud Native Security, che estende l’osservazione nei diversi ambiti pertinenti al tema come l’automazione, lo sviluppo DevSecOps, la postura di cybersecurity, l’utilizzo di strumenti e risorse open source.
In particolare, la ricerca si basa proprio sull’esperienza di oltre 3.000 esperti operativi nell’ambito DevSecOps in cloud a livello globale (Usa, Germania, Uk, Brasile, Giappone , su cinque verticali industriali – prodotti di consumo e servizi, energy e industria, servizi finanziari, technology media e telecomunicazioni, life services e healthcare, con oltre due terzi delle aziende coinvolte che maturano ricavi superiori al miliardo di dollari. Entriamo nei dettagli.
Da una parte le aziende hanno ampliato le proprie strutture cloud, ma i team non sempre hanno potuto contare sulle risorse attese. E’ cresciuta del 16% rispetto al 2020, per esempio, la percentuale delle realtà che hanno speso meno di 10 milioni di dollari, e nel 2021 quasi quattro aziende su dieci si sono dovute “accontentare” di questa cifra, mentre appena il 26% ha investito più di 50 milioni di dollari, una percentuale in calo del 17% rispetto al 2020.
In particolare gli investimenti sono stati indirizzati su PaaS e approcci serverless per una crescita del 20%, sostenendo quindi una rapida transizione al cloud, mentre l’uso di container e Container as a Service (CaaS) ha registrato una crescita più moderata, mentre per quanto riguarda le capacità computazionali le aziende, come è logico preferiscono utilizzare diverse opzioni, a seconda della convenienza.
Entrando nello specifico per quanto riguarda l’attenzione alla security, ecco che la ricerca sottolinea come poco meno del 75% delle aziende utilizzi per la protezione cloud meno di dieci strumenti per la protezione degli asset, ed addirittura è cresciuto del 27%, rispetto al 2020, il numero delle aziende che ne utilizzano meno di cinque. Si punta quindi sulla semplificazione dei rapporti con i vendor di sicurezza, a vantaggio di una migliore efficacia generale e della riduzione delle complessità. Con una nota interessante: le realtà che puntano su un alto livello di automazione segnano il doppio delle probabilità di ridurre gli attriti a vantaggio di una migliore postura rispetto al resto del campione.
Con “attrito”, la ricerca indica il grado in cui le organizzazioni ritengono che la protezione cloud supporti o limiti le loro operazioni. E per le aziende si tratta di un parametro importante che evidenzia la necessità di un duplice approccio alla sicurezza in-the-cloud, con la possibilità di implementare funzionalità efficaci allo stesso tempo curando che l’impatto sui team operativi sia sostenibile. Ecco che l’adozione e l’implementazione delle metodologie DevSecOps sembra incrementare di circa sette volte la probabilità di assumere una postura di sicurezza forte o molto forte, e di nove volte quella di avere bassi livelli di attrito della sicurezza.
Le realtà con le migliori strategie nella cybersecurity dichiarano poi che i più importanti benefici per i dipendenti si registrano proprio in termini di produttività e soddisfazione. Una percentuale dell’80% delle organizzazioni con un’ottima postura, e dell’85% di quelle che hanno saputo ridurre gli attriti, riportano l’incremento di efficienza e produttività. Purtroppo sono più della metà del campione (55%) le aziende che segnalano una postura di sicurezza debole e ritengono di dover migliorare in diversi punti, come ad esempio ottenendo una visibilità multicloud, applicando una governance più coerente tra gli account o razionalizzando le attività di incident response and investigation.
La partita per migliorare l’efficacia della propria strategia di protezione – oltre che sulla “semplificazione” – sembra giocarsi anche su una scelta per quanto possibile “coerente”. Per esempio, la ricerca evidenzia come l’80% delle organizzazioni che utilizzano prevalentemente strumenti di sicurezza open source abbiano una postura di sicurezza debole, rispetto al 26% di quelle che si affidano al proprio fornitore di servizi cloud e al 52% di chi si rivolge a terze parti. Come dire: l’utilizzo di una piattaforma composta da strumenti distinti ed eterogenei impatta in negativo sul risultato finale.
© RIPRODUZIONE RISERVATA
