In base a uno studio recentemente divulgato da Netskope, circa il 75% delle applicazioni cloud utilizzate oggi nelle imprese non sarebbero conformi al nuovo regolamento europeo sulla protezione dei dati, destinato a entrare in vigore entro i prossimi due anni.
Tra le altre cose, si dispone che tutte le imprese, dovunque siano allocate, proteggano la confidenzialità dei dati che raccolgono, memorizzano o elaborano, se legati anche a un solo membro dell’Unione Europea. La natura internazionale del cloud fa sì che, meccanicamente, diverse imprese siano suscettibili di essere esposte a importanti sfide di conformità, talvolta persino a loro insaputa.
Netskope ha costruito la propria analisi sulla base di 22mila applicazioni utilizzate nelle imprese. In base ai risultati, solo il 24,6% ha mostrato un livello elevato di conformità con la nuova normativa continentale. L’analisi si basa su otto criteri chiave, ovvero esigenze geografiche, conservazione dei dati, proprietà, protezione, confidenzialità, capacità di audit, certificazioni e presenza di un’approvazione valida per l’elaborazione dei dati.
Le applicazioni cloud esaminate falliscono sotto diversi punti di vista. Nel 62,3% dei casi, per esempio, nelle condizioni di utilizzo non precisano che, nel quadro della normativa europea, i loro clienti sono proprietari dei dati. Il 46,4% conserva, inoltre, i dati anche dopo che l’utente ha abbandonato l’applicazione, per un tempo superiore alla settimana, cosa che infrange un altro punto della normativa Ue.
Il problema non è trascurabile perché, a una rilevazione attenta, in un’azienda di una certa dimensione si può arrivare a scoprire l’esistenza di diverse centinaia di applicazioni cloud in qualche modo utilizzate, mentre la sensazione delle dirette interessate si limita a qualche decina. Molte di queste sono utilizzate per necessità di business perfettamente legittime, anche se non si tratta, spesso, di software adeguati a un impiego aziendale.
Un concetto poco diffuso è quello della responsabilità condivisa, applicato da tutti i fornitori di applicazioni cloud, che sono tenuti a fornire tutte le funzionalità richieste, ma demandano alle imprese la responsabilità della protezione e del controllo sull’utilizzo delle applicazioni stesse. Poiché la sincronizzazione e la condivisione è estremamente semplice, occorre assicurare una governance appropriata.