Gli attacchi informatici sono all’ordine del giorno. A volte eclatanti a volte subdoli. Cresce la consapevolezza dell’importanza di proteggere il più possibile i dati e la nostra stessa presenza in rete. Ma quante risorse occorre dedicare e investire, sottraendole magari al core business aziendale?
Non sono molti in Italia coloro che ritengono che la (in)sicurezza IT sia una piccola grande emergenza. Episodi però come quello dello scorso maggio, protagonista il virus WannaCry e la spettacolare infezione di centinaia di migliaia di computer in tutto il mondo, sembrano fatti apposta per far cambiare presto idea. WannaCry non è stato il più devastante, né sarà l’ultimo. Ma di sicuro ha contribuito ad alimentare il clima di timore verso il prossimo cyberattacco di massa o della prossima ondata di ransomware. La buona notizia, vogliamo essere ottimisti, è che la sicurezza non è più la cenerentola delle priorità aziendali. «Secondo gli ultimi sondaggi, tra le imprese italiane sopra i 50 addetti, l’importanza attribuita alla sicurezza è cresciuta oltre il 70 per cento, superando persino la necessità di aggiornare le business applications» – conferma Giancarlo Vercellino, research & consulting manager di IDC Italia. Il salto di qualità nei crimini informatici ha finito per incidere nella carne viva delle decisioni di investimento di aziende e istituzioni. Contribuendo alla scalata della security verso la “top three” delle priorità strategiche.
«Nell’ultimo anno, forse anche a causa delle cronache dei giornali, abbiamo osservato una tendenza interessante all’espansione della spesa in sicurezza IT in quasi il 60% delle imprese sopra i 50 addetti. Probabilmente il segnale di una inversione di tendenza importante» – afferma Vercellino. Un cambio di direzione ampiamente annunciato. IDC prevede un aumento della spesa globale in hardware, software e servizi di sicurezza del 38 per cento entro il 2020, che farà lievitare il valore degli investimenti dagli attuali 73,7 miliardi di dollari a oltre 100 (101,6) entro il 2020. Con tassi di crescita più che doppi rispetto a quello degli investimenti in IT. Il dato globale però si discosta parecchio da quello assai meno corrusco del nostro Paese. Il primo scollamento è tra agenda strategica e comportamenti operativi di spesa. «Il budget rate della sicurezza sulla spesa IT generale ammonta a pochi punti percentuali» – osserva Vercellino. Ai buoni propositi – il “sentiment”, senz’altro positivo – non fanno seguito comportamenti coerenti. Un conto è rispondere a un sondaggio sperticandosi in lodi verso le virtù benefiche della security, sul valore degli investimenti, e sulla volontà di farli. Altro è far seguire alle parole i fatti. Con il rischio – stigmatizzato da Vercellino – «di cronicizzare la vulnerabilità specifica delle imprese italiane». Secondo Mauro Cicognini, responsabile seminari di CLUSIT questo iato si spiega in parte con lo scarto culturale tra manager IT e non. «Per i primi, la sicurezza è uno dei capitoli più importanti, anche se i primi in ordine di grandezza saranno sempre gli investimenti dedicati alle applicazioni di business, all’infrastruttura, alla connettività. Tra i manager non informatici invece continuiamo a riscontrare un’informazione insufficiente. Basata in gran parte su quello che si sente dire nei telegiornali e nelle trasmissioni televisive divulgative. Lacune – sottolinea Cicognini – testimoniate dalla scarsa comprensione dell’importanza dell’IT per il business. Al di fuori di un ambito specialistico, non trovo una consapevolezza adeguata nemmeno della centralità dell’informatica per le attività core di tutte le aziende».
Budget in crescita ma le PMI stanno a guardare
Secondo IDC, gli investimenti in servizi di security – circa il 45 per cento degli investimenti totali – sono a livello globale la prima voce di spesa, con un fatturato attorno ai 13 miliardi di dollari. A trainare il mercato, sono i servizi gestiti. In questo quadro, però l’Italia fa eccezione. Con il software prima voce di spesa. «Se osserviamo i dati aggregati relativi all’evoluzione del mercato italiano raccolti da IDC, a guidare la crescita del settore è principalmente il comparto software, che quest’anno potrebbe attestarsi di poco sotto il 5 per cento» – afferma Vercellino. Un segmento che ha generato nel 2016 un giro d’affari complessivo superiore ai 300 milioni di euro. Spinto soprattutto dalla crescita delle applicazioni legate alla network security e alla gestione della security e delle vulnerabilità. Al secondo posto, le appliances – unified threat management, VPN, firewall, IDP, content – con una crescita di poco sotto al tre per cento e un CAGR 2016-2019 stimato in circa due punti percentuali, grazie ai buoni risultati delle soluzioni di UTM e VPN. «Un’area questa che sviluppa un valore complessivo non di molto inferiore ai 200 milioni di euro. In ambito servizi – IT Consulting e System Integration/Implementation – invece – ci muoviamo su un terreno intermedio. Qui, il giro d’affari supererà nel 2019 la quota di 600 milioni di euro» – continua Vercellino. Ma il segmento, investito da una profonda ristrutturazione dell’offerta di servizi proposti al mercato, potrebbe accelerare in modo ancora più significativo: «Quest’anno la Security as a Service potrebbe crescere per effetto del GDPR» – conferma Vercellino. «La necessità di arrivare preparati alla scadenza del maggio 2018 porterà infatti molte aziende a espandere i propri investimenti; soprattutto in quelle imprese la cui Data Transfer Policy ha sempre previsto finora il trasferimento dei dati su piattaforme cloud residenti al di fuori del perimetro europeo. Oltre il 60 per cento delle imprese con DTP extraeuropeo incrementerà gli investimenti in tecnologie di sicurezza per il cloud». Dati in crescita. Viziati però da una quota di investimenti in sicurezza rispetto al totale IT, ancora sottodimensionato. «L’aggregato complessivo della spesa in software per la sicurezza in Italia – valore superiore ai 300 milioni di euro – corrisponde a circa il 5 per cento di quella software complessiva» – mette in evidenza Vercellino. Una cifra attorno ai 6 miliardi di euro. Ritenuta da molti osservatori ancora largamente insufficiente.
Non solo. Come emerge dal recente studio di Ponemon Institute “2017 Cost of Data Breach Study”, il costo medio della violazione di dati è di 3,62 milioni di dollari a livello mondiale, in calo del 10 per cento rispetto ai risultati del 2016 (in Europa, il calo registrato è del 26 per cento), e ha evidenziato la stretta correlazione tra la risposta ai requisiti normativi come il GDPR e il costo totale della violazione. Al di là del mero rapporto tra investimenti in IT e sicurezza, le cui stime oscillano entro una forbice piuttosto ampia, va detto che le decisioni di investimento risentono delle prospettive di sviluppo dell’azienda in termini di maggiore o minore crescita del fatturato. Se l’economia cresce, la propensione agli investimenti tenderà a espandersi. Mentre in uno scenario generale dominato da incertezza e da una ripresa moderata, indebolita da una sostanziale gracilità della domanda nazionale di beni e servizi, come quella in cui l’Italia vivacchia – la dinamicità dei mercati secondari e delle transazioni B2B – ai quali appartiene quello della sicurezza informatica, tende a non sviluppare appieno tutto il suo potenziale. La già citata survey IDC conferma questo trend, evidenziando altresì le differenti connotazioni che la sicurezza assume a seconda della prospettiva industriale dalla quale la si osserva. IDC a questo proposito sottolinea le differenze sostanziali tra “data intensive industries” – come il settore finanziario, e “material intensive industries” (il manifatturiero). Una tassonomia da cui derivano comportamenti di spesa diversi. I settori in cui si spende di più sono nell’ordine: finance (8,6 miliardi di dollari), manifatturiero (discrete manufacturing), pubblico e process manufacturing. Insieme i quattro verticali coprono quasi il 40 per cento degli investimenti globali in security a livello worldwide. Comparti – si legge nel report – nei quali gli investimenti saranno più massicci almeno sino al prossimo decennio.
«Non è un caso – osserva Cicognini di CLUSIT – che in alcuni settori, banche, energia, telecomunicazioni, i più regolamentati, la spesa in sicurezza sia più significativa. Con progetti nell’ordine di milioni di euro, e una quota percentuale sul totale della spesa IT che può anche superare il 15 per cento. Diversa, la situazione nel manifatturiero, dove gli investimenti raramente superano l’ordine delle centinaia di migliaia di euro. Qui, comprensibilmente, l’imprenditore privilegia gli investimenti sul ciclo produttivo, ben sapendo che il segreto industriale è spesso meno importante della capacità di adattarsi alla variabilità delle condizioni economiche e alla rapidità nel portare i prodotti al mercato». Un solco tra comparti, ancora più profondo in Italia, per via delle profonde differenze, in termini di capacità di spesa tra microimprese e realtà medio-grandi. «A fronte di alcune grandi aziende che investono in modo significativo nel rafforzamento della sicurezza, dedicando una parte importante del proprio budget IT, la maggior parte delle piccole e medie imprese sostanzialmente non dispone di un budget specifico. Qui, la questione viene affrontata con grandi difficoltà, coprendo le esigenze ex post, quando sono intervenuti problemi» – incalza Vercellino. «Nella stragrande maggioranza dei casi, le organizzazioni corrono ai ripari soltanto quando sperimentano gli effetti di uno di questi attacchi sulla propria pelle» – conferma Stefano Volpi, practice leader per l’Italia e GSSO di Cisco. «Il 90 per cento delle aziende violate afferma che la falla nell’infrastruttura di sicurezza li ha portati a introdurre miglioramenti nelle tecnologie, policy, o metodologie di difesa dalle minacce». Una cattiva abitudine, non solo delle imprese più piccole.
Strategia per la sicurezza non solo un problema tecnico
È verosimile ipotizzare una qualche correlazione tra complessità ed efficacia degli attacchi e crescita delle aspettative sulla sicurezza. Riuscire però a comprendere fino a che punto le proposte commerciali (hardware, software e servizi) dei principali operatori rispondono alla percezione del rischio di chi lavora su questo tema resta piuttosto complicato. «Nelle organizzazioni più mature, la sicurezza IT non è più solo un problema tecnico di qualcuno che lavora nell’IT, ma è un tema che coinvolge tanti ruoli aziendali diversi» – osserva Vercellino. «Idealmente, la sicurezza IT dovrebbe essere un mutuo consenso tra diverse figure aziendali e allo stesso tempo un traguardo mobile che si sposta di continuo insieme allo stato dell’arte. Scherzando, potremmo dire che chi lavora nella sicurezza IT non dovrebbe mai essere troppo soddisfatto, e senz’altro non dovrebbe mai abbassare la guardia». Ci si chiede allora quanto le aspettative di partenza siano influenzate da scelte e valutazioni ponderate. In che misura cioè il budget destinato alla sicurezza sia correttamente indirizzato verso le giuste priorità. A partire dall’importanza di preparare adeguatamente il terreno. «Prima di tutto, le aziende devono valutare quali sono i loro asset più preziosi e quali sono i tipi di attacchi che subiscono più spesso e attraverso quali canali. Solo dopo aver effettuato un’analisi completa della loro infrastruttura potranno decidere come allocare il budget, che oltre ai prodotti deve riguardare anche la formazione delle persone» – suggerisce Alessandro Fontana, system integrator alliance manager di Trend Micro Italia. «Vanno prese in considerazione le aree di rischio e rapportate con il valore del business. È importante effettuare una valutazione del rischio per poter stimare i possibili danni in termini economici derivanti da un attacco informatico e di conseguenza stabilire l’entità del budget da investire in soluzioni di sicurezza. Individuando le aree di maggiore criticità e investendo innanzitutto in servizi professionali a valore» – concorda Morten Lehn, general manager Italy di Kaspersky Lab. «Molto spesso si trascurano le aree vulnerabili o si vanno a rafforzare quelle dove il rischio è più basso. Così il budget non viene speso correttamente e non si ha un ROI apprezzabile».
Risk assessment, come individuare le priorità
Prima di spendere i loro budget per nuove tecnologie, le aziende dovrebbero condurre un risk assessment approfondito per comprendere meglio a quali rischi si espongono e a come farvi fronte per mitigare i rischi e individuare le corrette priorità. «Ci sono casi di aziende che si distinguono positivamente – riprende Alessandro Fontana di Trend Micro Italia – ma purtroppo la maggior parte di loro non spende bene, implementando diverse soluzioni in maniera contingente e senza una strategia». È necessario darsi una strategia e obiettivi efficaci, attraverso un approccio consulenziale e con il supporto di un system integrator. E dopo la fase di assessment, «l’azienda può decidere se affidarsi completamente a una sicurezza gestita attraverso il pagamento di un canone oppure implementare la security all’interno della propria infrastruttura gestendola autonomamente». Nel caso in cui prevalga la seconda opzione, il consiglio è di evitare l’errore di accumulare troppe soluzioni. «Quando si accumulano senza criterio strati di sicurezza possono sorgere conflitti tra software, rendendo le cose ancora più complicate di quel che già sono» – mette in guardia Enrico Sorge, responsabile cyber security di Italtel. Secondo il Cisco Annual Security Report, il 65 per cento delle aziende utilizza da 6 a oltre 50 prodotti per proteggersi. Quanto può essere allora complicato, in termini di competenze e velocità operativa, intervenire rapidamente per proteggere l’azienda? Secondo Sorge – «bisognerebbe sempre scegliere in qualità piuttosto che in quantità, affidandosi a soluzioni in grado di interoperare tra loro, in modo da automatizzare le attività quotidiane e rispondere più celermente alle emergenze durante il rilevamento di una minaccia. Perché la rapidità di contenimento è l’unico requisito assolutamente necessario per una corretta protezione».
Infatti, l’automazione dei processi critici di sicurezza, grazie anche all’astrazione delle infrastrutture, consente agli esperti IT di concentrare la loro attenzione altrove, per migliorare la difesa complessiva della rete. Lo scenario sempre più complesso delle minacce informatiche rende impossibile affidarsi a un solo prodotto. Tuttavia, come rileva Marco D’Elia, country manager di Sophos Italia è preferibile optare per un approccio sistemico, basato su soluzioni in grado di dialogare efficacemente tra loro per garantire il massimo della protezione su tutto il perimetro aziendale. Ma non solo. «Al fine di ottimizzare l’investimento dell’azienda, sia in termini economici sia di risorse umane dedicate all’IT security, è fondamentale che le aziende possano avvalersi di un’unica console di management unificata, in grado di ridurre sensibilmente tempi e costi di gestione».
Reti senza confine e superfici di attacco in aumento
Morten Lehn di Kaspersky Lab mette in guardia dalla tendenza a investire in soluzioni tecnologiche complesse e costose, che risultano poco efficaci se non associate a un programma di formazione che abbia come obiettivo la security awareness. Si tratta di un’attività «con un basso impatto economico, ma con un alto tasso di rendimento se effettuata con gli strumenti e le metodologie adatte». Tentativi di misurare la security almeno in generale si sono sempre fatti. I risultati non sempre però sono stati all’altezza. Anche per via di un’adeguata preparazione. «Manca una cultura della misura, per cui non si stabilisce a priori, prima di affrontare la spesa in sicurezza, quale indicatore usare per capire se dopo la realizzazione del progetto si sarà più o meno soddisfatti. Ciò impedisce qualsiasi calcolo relativo alla resa dell’investimento. Se non sappiamo misurare il beneficio, non si potrà mai dire se ne è valsa la pena. In questi casi, il rischio di coltivare aspettative non correlate con la realtà e di conseguenza rimanere delusi dai risultati ottenuti, pochi o tanti che siano, è alto» – mette in guardia Cicognini di CLUSIT. Tuttavia, questi sforzi hanno una valenza diversa. Anzitutto per via delle pressioni provenienti dal board, che sempre più spesso pretende non solo un utilizzo del budget allineato a reali esigenze organizzative, ma che soluzioni e servizi acquistati restituiscano almeno una parte del valore dell’investimento. Qual è allora la distanza tra le richieste del board – quando ci sono e sono chiaramente formalizzate – e le capacità dell’IT di dare piena risposta? In che misura cioè l’IT è in grado di verificare se il budget destinato alla sicurezza è stato correttamente indirizzato verso le giuste priorità? Aspetti questi sui quali le aziende sono piuttosto restie a condividere le loro osservazioni. Atteggiamento peraltro legato a filo doppio all’atavica carenza di risorse da destinare alla sicurezza. Un gap comune sia nel pubblico che nel privato. Che finisce per incidere negativamente sulle decisioni di spesa.
Da anni CIO, CISO e tutte le figure coinvolte nel processo lottano perché le loro richieste vengano approvate. Un braccio di ferro che continua ancora oggi con modalità in parte immutate. Non stupisce allora constatare quanto sia ancora folta la schiera di coloro che pensano che il budget per la sicurezza rimanga una coperta troppo corta. «Molte aziende assegnano la maggior parte del loro budget a tre ambiti: rendere sicura la rete, aumentare i controlli su desktop e server, adottare meccanismi di gestione degli accessi sempre più raffinati. Questo approccio spesso però finisce per lasciare risorse limitate per le minacce negli ambiti cloud, dispositivi mobili e computer portatili» – conferma Cosimo Rizzo, sales engineering manager di PRES. «In realtà, una strategia di sicurezza efficace dovrebbe riuscire a proteggere l’organizzazione su tutti i fronti importanti per l’azienda. Come sottolineano i principali analisti del settore, oltre alla prevenzione, la capacità di rilevazione e di risposta agli incidenti di sicurezza, acquisisce sempre maggiore importanza. Ottenere visibilità attraverso sistemi avanzati per prendere le decisioni più opportune durante gli incidenti di sicurezza sarà una priorità fondamentale nei prossimi anni» – osserva Rizzo. Tanto più che «in virtù dell’evoluzione tecnologica, le reti non hanno più un confine definito e la superficie di attacco è drasticamente aumentata» – osserva Paolo Caloisi, director ETech BDM Italy & Malta di Fortinet. «Le aziende spesso scendono a compromessi, privilegiando le prestazioni di rete a danno della sicurezza. Questa strategia non potrà mai essere vincente. Come non lo è l’approccio “best of breed”. Per affrontare strategicamente la questione è necessaria una sicurezza intelligente e reattiva che offra visibilità su tutti gli elementi dell’infrastruttura in tempi rapidi. Solo una soluzione integrata può garantire un’efficace protezione a fronte della crescente complessità delle reti» – afferma Caloisi.
Conclusioni
La distanza tra le buone intenzioni e la capacità di aziende e organizzazioni, di definire quali reali esigenze di security soddisfare, fatica ad accorciarsi. Non basta sapere che si vogliono difendere i propri asset né che si è in parte obbligati a farlo, per definire in modo granulare il proprio bisogno di sicurezza e le soluzioni che meglio lo soddisfano. Si tratta – come abbiamo visto – soprattutto di un vuoto culturale che intrappola le aziende in un limbo. Una bolla dentro alla quale faticano a elaborare una strategia di sicurezza che sia davvero il frutto del coinvolgimento fattivo di tutte le funzioni e di tutte le persone dell’organizzazione. Senza dubbio il tema dell’elaborazione di una strategia proattiva per la gestione della sicurezza è al centro del dibattito degli ultimi anni. Ma al di là degli slogan, e nonostante sul mercato esistano tante soluzioni che rispondono in modo soddisfacente alla gestione del rischio IT, la capacità di mettere insieme tecnologie distinte, orchestrando una strategia votata all’unificazione degli strumenti e alla prevenzione delle minacce è prima di tutto un tema di sviluppo organizzativo. Un obiettivo, che richiede l’intervento di figure specializzate in grado di gestire in modo credibile il tema di fronte al board. E non si tratta neppure di una mera questione di risorse. Anche se, senza dubbio, i budget stanziati dovrebbero e potrebbero essere più generosi. Ma che il denaro da solo non basti a elevare il livello di sicurezza in azienda lo dimostra l’andamento delle curve degli investimenti in sicurezza e del cybercrime, entrambe ascendenti. La sfida è aperta. Siamo solo agli inizi.