Migrazione al cloud e normative più stringenti potrebbero invertire la tendenza
Digital trasformation e sicurezza
Per i manager IT non è ancora arrivato il momento di riconoscere alla sicurezza IT l’importanza che si merita. Si parla tanto di Digital Transformation, di come big data, cloud computing, real time, mobilità, stanno modificando radicalmente gli scenari di business per tantissime organizzazioni. Ma si tralascia di dire che tutto questo si fonda sui dati. Quelli che consentono alle aziende di servire i clienti in modo più efficace, velocizzare l’erogazione di prodotti e servizi, ridurre i costi, ecc. In una parola a migliorare il loro approccio al mercato.
La survey Fortinet
Se i dati sono il propano che alimenta le strategie aziendali, dovrebbe essere scontato proteggerli con qualsiasi mezzo. Le cose però vanno diversamente. Almeno secondo una ricerca commissionata da Fortinet dal titolo Global Enterprise Security Survey su un campione di 1800 decisori aziendali di realtà medio grandi di sedici paesi, Italia compresa.
Dati salienti
Dalla survey, giunta alla terza edizione, emerge per esempio che la percezione dei responsabili aziendali che si occupano di questi temi si evolve ancora troppo lentamente: la sicurezza IT interessa poco il board. Eppure una quota importante (l’81 percento) delle imprese italiane (circa un centinaio i rispondenti), ammettono gli intervistati, dichiara di aver patito un attacco negli ultimi due anni (84 percento il dato globale). A colpire sono soprattutto malware, ransomware e social engineering. Più contenuta invece la percentuale di data breach e furto di dati (24 e 29 percento rispettivamente). «Una quota tutto sommato contenuta anche se probabilmente incidono sia il fatto che non è ancora obbligatorio notificare una perdita o la sottrazione, sia che le aziende non sempre sono in grado di individuare tempestivamente una falla, specialmente offuscata da un attacco DDoS o virale» rileva Filippo Monticelli, Regional Manager Italy di Fortinet. Al cuore della ricerca la sconfortante constatazione che per i manager IT di mezzo mondo non è ancora arrivato il momento di riconoscere alla sicurezza IT l’importanza che merita. Il 44 percento dei rispondenti italiani dichiara di non vedere un adeguato livello di attenzione da parte della dirigenza verso i temi della sicurezza, ancora ingessata da una postura prevalentemente reattiva, con l’attacco cyber come principale detonatore di attenzione nei confronti del board. Che in oltre il 30 percento dei casi reagisce con una caccia alle responsabilità individuali, spesso attribuite all’IT. «Un atteggiamento controproducente. Perché sappiamo che le breach spesso scaturiscono da errori commessi da persone di altre funzioni aziendali» commenta Monticelli.
Spesa in crescita ma mancanza di prospettiva
Secondo l’Osservatorio PoliMi, la spesa in cybersecurity supera il miliardo di euro, con una crescita annuale degli investimenti che si attesta a circa il 5%. Dati sostanzialmente in linea con quelli forniti dalla survey Fortinet dalla quale emerge che il 53 percento dei rispondenti dichiara di aver investito oltre il 10 percento del budget, con il 72 percento dei CISO/CIO a confermare che il budget destinato alla security è aumentato rispetto all’anno precedente. Le voci di spesa che assorbono le maggiori risorse sono l’aggiornamento tecnologico di hardware e software. Secondo la ricerca, le voci di spesa preponderanti rimangono l’aggiornamento dei sistemi di sicurezza esistenti e l’implementazione di processi e policy connessi alla sicurezza. «Una tendenza in linea con l’andamento globale degli investimenti in Italia. A fronte della persistenza di un ritardo di circa di 6-12 mesi nell’adozione di soluzioni innovative rispetto alle nazioni più evolute» osserva Monticelli. Ancora magri invece gli investimenti per attività di formazione e training, anche se a parole la maggior parte dei rispondenti riconosce a queste aree criticità importanti. Persiste dunque un approccio ancora fortemente orientato alla difesa reattiva rispetto ai rischi e non l’introduzione di un piano di investimento con orizzonte pluriennale che abbracci cultura della prevenzione, formazione e awareness. «E’ un fatto che il continuo crescere degli attacchi abbia fatto lievitare gli investimenti in sicurezza. Il 64 percento delle aziende italiane dichiara di aver incrementato il proprio budget di sicurezza. Ma se andiamo a vedere i numeri, la quota destinata alla sicurezza rispetto al budget complessivo rimane desolatamente bassa, con oltre la metà delle imprese rispondenti che stanzia meno del 15 percento per la security» afferma Monticelli.
Alcuni fattori tuttavia lavorano a favore di una maggiore attenzione del board verso la sicurezza: l’esperienza diretta di un attacco, l’avvicendarsi di nuove generazioni di manager e soprattutto l’arrivo di nuove e più stringenti normative (GDPR, NIS). La survey conferma altresì che una percentuale molto alta di rispondenti (83 percento) valuta d’impatto le nuove sfide portate dal cloud, anche se meno della metà (48 percento) dei partecipanti dichiara di avere programmato investimenti per la sicurezza in cloud nei prossimi 12 mesi.