Ecco quali sono, secondo l’osservatorio globale di IDC, le principali tendenze della sicurezza IT e che cosa stanno facendo manager e imprenditori per rafforzare la resilienza tecnologica delle imprese
Se gettiamo uno sguardo al National Vulnerability Database del NIST, possiamo osservare i dati degli ultimi CVE (Common Vulnerabilities & Exposures) evidenziati a livello globale dalla comunità della sicurezza IT (dalle autorità di vigilanza nazionale fino agli operatori internazionali specializzati nella cybersecurity). La progressiva democratizzazione delle cyberweapons presso una comunità più ampia ed eterogenea di attori, dalle agenzie specializzate alla comunità degli hacktivists, dal cybercrime fino agli insiders, sta rivelando la fragilità di applicazioni, piattaforme e infrastrutture in modo ancora più evidente. Il numero medio di CVE segnalati ogni settimana ha superato quota 600 e la fragilità dell’ecosistema IT è cresciuta con un CAGR del 60 percento dal 2017. Il rischio IT sta diventando un rischio sistemico. Questa fragilità si riflette integralmente nelle priorità IT delle imprese italiane nel 2019. Ai due estremi della dimensione “innovazione” non troviamo un semplice dualismo manicheo tra innovatori e “conservatori”. Molto spesso chi guarda con diffidenza all’innovazione tecnologica nell’IT non lo fa soltanto per una attenta gestione dei costi, ma per salvaguardare il delicatissimo equilibro raggiunto tra qualità dei servizi e sicurezza delle infrastrutture, sacrificando in molti casi la modernizzazione della governance. Chi rinuncia a fare il balzo su nuove piattaforme ed ecosistemi rimane ancorato a modelli di relazioni tecnologiche molto tradizionali che però consentono molto spesso di trovare un equilibrio pragmatico tra innovazione e governance, delegando la gestione del rischio IT al fornitore di servizi e salvaguardando allo stesso tempo l’organizzazione dalle repentine discontinuità introdotte dall’innovazione.
LE DINAMICHE DEL CAMBIAMENTO
Ciononostante, le imprese stanno cambiando. Quando proviamo a osservale da una prospettiva globale, emergono più chiaramente quei segnali deboli che annunciano un processo di lento, ma inesorabile cambiamento. Qualsiasi impresa è ormai impegnata in percorsi di trasformazione digitale e in progetti innovativi che stanno ridisegnando in misura rilevante le strategie di business, i processi e i sistemi interni, le competenze, i prodotti e i servizi, e, soprattutto, la gestione della sicurezza IT.
Ai sistemi aziendali, accedono risorse e tecnologie sia dall’interno che dall’esterno del perimetro aziendale, in misura così pervasiva e sistematica che è corretto riconoscere l’IT come una infrastruttura sempre più organica e senza soluzione di continuità tra qualsiasi organizzazione e il suo ambiente circostante. Queste dinamiche contribuiscono a rafforzare il ruolo della sicurezza IT tra le priorità tecnologiche delle imprese, che sono chiamate a proteggere e valorizzare un patrimonio di dati e informazioni ancora più difficile da governare. A livello internazionale, IDC osserva alcune dinamiche che nei prossimi anni avranno un considerevole impatto sulle imprese e sui cittadini, che dovranno mettere in campo strategie e tecnologie molto più sofisticate per tenere il passo con il cybercrime.
Lo “skill shortage” continuerà a rimanere una tematica critica, soprattutto in un contesto in cui le competenze degli specialisti della sicurezza vanno ulteriormente approfondendosi: sarà sempre più importante disporre di analisti con competenze anche nelle aree del machine learning, in considerazione del peso sempre maggiore che l’intelligenza artificiale giocherà nel monitoraggio, nella detection e nella gestione di eventuali incidenti. La varietà e i volumi degli alert cresceranno in maniera esponenziale e soltanto questi strumenti potranno aiutare le aziende a gestire situazioni anomale, ricorrendo a molteplici fonti per disegnare regole e profili di rischio basati su comportamenti complessi. La progressiva digitalizzazione delle aziende e la continua integrazione dell’IT con le tecnologie della produzione rappresenteranno per molti anni una opportunità di crescita per la sicurezza IT. Come è ben noto, le minacce verso la produzione, soprattutto negli scenari IoT, sono numerose e in continua crescita. Secondo IDC, entro il 2024 – con nuovi strumenti per la visibilità sulle Operational Technologies – il 60% delle aziende manifatturiere globali opterà per un approccio integrato OT/ IT per la gestione della sicurezza. Oltre a beni e servizi materiali, le smart factories produrranno una quantità ancora maggiore di dati gestiti nei sistemi Edge: la gestione dei rischi IT connessi alle operazioni diventerà un fattore essenziale per garantire la continuità delle operazioni aziendali e mantenere la capacità competitiva dei settori nel nuovo millennio.
Un’altra tendenza caratterizzante nei prossimi anni sarà il rinnovamento della sicurezza come strumento per gestire e alimentare il Digital Trust. Sempre più spesso le imprese si impegneranno nella definizione di programmi e di framework capaci di costruire un rapporto nuovo con clienti e partner basato su affidabilità sia organizzativa che tecnologica nella gestione delle transazioni B2B e B2C e in questa sfida si aprirà uno spazio per l’affermazione di un ruolo sempre più importante della sicurezza IT come infrastruttura essenziale per la Digital Economy. Secondo IDC, entro il 2025 il 25% della spesa in servizi di sicurezza sarà destinato allo sviluppo, all’implementazione e al mantenimento di un “trust framework”. Non si tratterà soltanto di una sfida tecnologica: oltre alla sicurezza IT, sarà necessario adottare una strategia che prevede interventi organizzativi in grado di trasformare processi e gestire il cambiamento, in un contesto dominato da una elevata interdipendenza tra funzioni e organizzazioni, sia interne che esterne.
ALLA RICERCA DELL’EQUILIBRIO
Nei prossimi anni le imprese saranno sempre più impegnate a trovare un equilibrio virtuoso tra la qualità dell’esperienza digitale e i requisiti sempre più stringenti di controllo e sicurezza. L’obiettivo di garantire elevati livelli di fluidità dell’esperienza digitale da un lato e la necessità di provvedere opzioni di autenticazioni sempre più veloci, semplici e naturali dall’altro comporteranno l’investimento in soluzioni e tecnologie innovative per la gestione dell’identità digitale. Entro il 2022, IDC prevede che il 35% delle transazioni a livello globale avverrà attraverso sistemi di autenticazione che salvaguarderanno la qualità della “digital experience” ricorrendo a tecnologie di autenticazione che spazieranno ampiamente su tecnologie biometriche.
Concludiamo questa breve rassegna con un’ultima tendenza che nel medio termine guiderà gli investimenti nella sicurezza IT: la proliferazione di sistemi distribuiti di Edge computing in qualsiasi ambito, dal commercio alla finanza fino al settore industriale. Secondo IDC, entro il 2025, per gestire l’esplosione del volume di dati sensibili derivanti dal “digital footprint” degli utenti, il 25% dei dati delle imprese risiederà in sistemi distribuiti per garantire una maggiore tutela e protezione dei dati personali, dei contatti commerciali e dei segreti industriali. L’analisi e la gestione dei dati all’estrema periferia delle reti attraverso sistemi di Edge computing sarà una strategia efficace per proteggere le informazioni aziendali, per proteggere i dati sensibili da accessi indesiderati e garantire una corretta gestione delle informazioni anche in termini di data lineage, attestando l’origine e l’integrità dei dati su cui prendono vita le strategie aziendali.
Giancarlo Vercellino associate director Research & Consulting di IDC Italy