La risposta di Veeam, ossia di uno dei leader nel mercato della resilienza dei dati, anche se può sembrare scomoda, è partire dal basso. Con la scala attuale dei dati e delle reti di fornitori, un approccio frammentario rischia solo di peggiorare la situazione. Piuttosto che reagire in maniera reattiva a minacce e cambiamenti normativi, le aziende devono adottare una visione olistica della resilienza dei dati, altrimenti le lacune continueranno a moltiplicarsi.
Grandi volumi di dati
Innanzitutto per le aziende che vogliono gestire al meglio i propri patrimoni di dati, la priorità è avere una visione completa e accurata dell’intero ecosistema. I dati stanno crescendo a ritmo esponenziale. Nel 2010 l’intero universo digitale ammontava a soli 2 zettabyte, mentre nel 2024 ne sono stati generati 147. I dati aziendali rappresentano una quota enorme di questa crescita, esplosa nell’ultimo decennio. Con l’intelligenza artificiale ormai parte integrante dei processi aziendali, questa tendenza non farà che accelerare ulteriormente: si prevede che il mercato della gestione dei dati aziendali raddoppierà nei prossimi anni, passando da circa 111 miliardi di dollari nel 2025 a 243 miliardi entro il 2032 secondo questa socità. In altre parole, se le organizzazioni non agiranno subito, rischiano di restare irrimediabilmente indietro.
Gestione ancora più complessa con l’AI
Per molte aziende, l’arrivo dell’intelligenza artificiale ha comportato più di qualche modifica improvvisata alla gestione dei dati, al loro modo di essere archiviati e agli strumenti utilizzati. La velocità con cui la tecnologia è stata adottata ha spesso portato a cambiamenti applicati ai patrimoni informativi senza procedure completamente strutturate. Involontariamente, questo ha generato silos interni: i diversi dipartimenti utilizzano l’IA in modi differenti, lasciando vaste porzioni di dati fuori dal controllo centrale dell’organizzazione. Le aziende possono pensare di avere tutto sotto controllo, ma la realtà è che manca una visione completa.
88 fornitori sono troppi
Purtroppo, la crescita incontrollata dei dati aziendali non riguarda solo lo stack tecnologico gestito internamente. Per comprendere davvero i patrimoni di dati, precisa questa fonte, è necessario considerare anche le soluzioni di terze parti. Una ricerca della Cyber Risk Alliance rileva che, in media, un’organizzazione si affida a 88 fornitori IT esterni, utilizzando spesso le loro soluzioni in modo totale. Il problema? Molte di queste soluzioni funzionano come “scatole nere”, offrendo scarsa o nulla trasparenza, sia sui dati conservati sia sulle modalità con cui vengono garantite la resilienza e la sicurezza dei dati stessi. I fornitori esterni vengono spesso chiamati in causa proprio per questo: alleggerire la pressione sulle organizzazioni fornendo le loro soluzioni. Il problema è che questo porta spesso a concentrarsi più sul risultato finale che sull’infrastruttura che lo supporta. Molte aziende danno per scontato che i fornitori coprano tutto ciò di cui hanno bisogno, ma senza un modello chiaro di responsabilità condivisa (Shared Responsibility Model), rischiano di generare involontariamente vuoti significativi nella resilienza dei dati.
Scarsa consapevolezza
Nonostante l’introduzione di normative in tutto il mondo per rafforzare la resilienza dei dati, uno studio di McKinsey sulle grandi imprese mostra che molte aziende restano ancora indietro. Circa il 30% delle organizzazioni si considera più resiliente di quanto non sia in realtà, e questa discrepanza nasce principalmente dalla scarsa consapevolezza della vastità dei propri patrimoni di dati e dei fornitori terzi coinvolti. Anche quando le aziende rispettano le normative, i fornitori esterni e quegli angoli meno visibili dei patrimoni di dati restano spesso fuori dal controllo, generando lacune significative nella resilienza dei dati. Il problema non è tanto che le regolamentazioni siano carenti, quanto che le organizzazioni non hanno mai analizzato a fondo i loro patrimoni di dati e i fornitori terzi. In altre parole: non si può proteggere ciò che non si conosce.
SoloTablet intervista gli sviluppatori di APP italiani: Andrea Picchi
Prendiamo il DORA dell’UE come esempio. Destinato in particolare alle organizzazioni del settore finanziario, il regolamento richiede di prestare maggiore attenzione alla resilienza dei dati dei fornitori esterni. Eppure, il 34% delle aziende ha indicato proprio questo punto come il più difficile da applicare, probabilmente perché la dimensione delle proprie reti di fornitori era fino ad allora poco conosciuta. Sei mesi dopo l’entrata in vigore, il 96% delle organizzazioni EMEA ritiene ancora che la resilienza dei dati debba essere rafforzata, dimostrando quanto questa normativa abbia
Cosa fare?
Invece di aspettare che un attore malevolo approfitti di una lacuna, di un punto cieco o di una backdoor, le organizzazioni devono scoprirli e chiuderli. Non si tratta, aggiunge Veeam, di un compito facile, ma è essenziale per correggere le debolezze nella resilienza dei dati. Il processo deve includere valutazioni approfondite non solo delle misure interne, ma anche di quelle dei fornitori, per individuare vulnerabilità e dipendenze. Punti deboli nella supply chain dei terzi, silos di dati nascosti e altre lacune devono essere identificati e risolti prima che possano essere sfruttati.
È essenziale che, una volta implementate le nuove misure, le organizzazioni continuino a testarle costantemente. Migliorare la resilienza dei dati non è un’operazione “una tantum”: è un ciclo continuo di apprendimento e adattamento alle nuove minacce. I test regolari e completi possono sembrare un fastidio, ma sono nulla rispetto alle conseguenze di un attacco reale.
In conclusione come recita il detto, quando una porta si chiude, un’altra si apre. L’importante è assicurarsi che queste porte non restino spalancate per i criminali informatici.