Continuiamo a vedere attacchi informatici e data breach catastrofiche. I costi di questi incidenti sono tutt’altro che teorici e spesso provocano danni maggiori dei budget stanziati in sicurezza. Mancano talenti e competenze nella cybersecurity e questo mette a dura prova i reparti IT
«Circa il 60% delle aziende italiane, in base a una ricerca condotta da IDC nel 2022, ha dichiarato di aver aumentato il budget in tecnologie di security nel corso dell’anno per far fronte alle nuove priorità operative e di business e per affrontare le nuove sfide che derivano da attacchi cyber più sofisticati e potenzialmente più dannosi», dice Diego Pandolfi, research & consulting manager IDC Italia. La seconda fase dell’emergenza sanitaria sembrerebbe dunque aver spinto una parte delle imprese ad accelerare sull’implementazione di tecnologie di sicurezza informatica per cercare di adattarsi ai cambiamenti. Investimenti che si sono orientati su security analytics, intelligence, response and orchestration, soluzioni in grado di automatizzare le risposte agli incident, ma anche sul segmento della network security e su piattaforme ottimizzate per la gestione delle identità e degli accessi. Per IDC, il mercato italiano complessivamente crescerà nel 2022 del 12% rispetto al 2021, dimostrando che la sicurezza rimane in cima alla lista degli investimenti tecnologici strategici.
GLI INVESTIMENTI NEL CLOUD
Anche la crescita degli investimenti in cloud viene confermata da IDC. «Rileviamo un livello di consapevolezza delle aziende sempre maggiore in merito alla necessità di proteggere le proprie applicazioni cloud e i dati distribuiti», osserva Pandolfi. «Gli investimenti in cloud security crescono di oltre il 20% all’anno in Italia, confermando una tendenza di migrazione verso questa tipologia di soluzioni anche per quanto riguarda la fruizione di tecnologie di sicurezza, che spaziano dalle piattaforme di gestione delle identità e degli accessi in modalità as-a-service, ai software di network security, endpoint security, data security, fino all’area della cybersecurity analytics, intelligence, response and orchestration erogate a servizio». Nell’insieme, crescono anche gli investimenti nella formazione: «Un’altra area importante di investimento che si affianca a quelle più strettamente tecnologiche, proprio perché molto spesso le persone con i loro comportamenti rappresentano l’anello debole della catena di protezione». Il dato è confermato dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, secondo cui nel 2021 il 58% delle imprese ha definito un piano strutturato di formazione sulle tematiche di sicurezza IT e data protection rivolto a tutti i dipendenti.
UN SOLCO TRA PMI E GRANDI AZIENDE
Quanto sopra riguarda soprattutto le aziende più strutturate. Per le PMI il discorso è diverso. Per le piccole e medie imprese, infatti, il qui e ora è dato dalla fisiologica mancanza di risorse che scava un solco sempre più profondo con le grandi. Dal punto di vista della sicurezza informatica, la proverbiale polverizzazione del tessuto imprenditoriale rappresenta senza dubbio un problema, equivalente a una capacità di difesa vicino allo zero. Consola poco, anche se si tratta di un dato positivo, registrare che l’attenzione e la sensibilità sul tema sicurezza cresce anche tra le PMI.
Secondo uno studio Kaspersky dello scorso anno, quasi la metà delle piccole imprese italiane (47%) aveva difficoltà a investire nella sicurezza informatica. Inoltre, il 45% delle imprese intervistate paventava la possibilità che le difficoltà finanziarie degli ultimi 12 mesi potessero trasformarsi in difficoltà a lungo termine. Una situazione che avrebbe costretto i decisori aziendali a stabilire con ancora maggiore attenzione dove allocare i budget. «Le grandi aziende probabilmente riusciranno a seguire il percorso già tracciato verso una maggiore sicurezza informatica, ma in un periodo di difficile congiuntura economica è plausibile che le aziende più piccole mettano invece in discussione eventuali costi per la cybersecurity» osserva Massimo Longatti, personal solutions & FM senior manager di CRIF.
Il mercato della cybersicurezza, secondo i risultati della ricerca dell’Osservatorio, genera in Italia un giro d’affari pari a 1,55 miliardi di euro, con una crescita del 13% rispetto al 2020. Tuttavia, il rapporto tra spesa in sicurezza e Pil, pari all’0,08%, inchioda l’Italia all’ultimo posto tra i Paesi del G7. A distanza siderale da Francia, Germania e UK dove la percentuale è dalle due alle tre volte maggiore. La sottodimensionata capacità di spesa si traduce, quasi inutile dirlo, in una limitata capacità di difesa. Posto che non è affatto scontato che le scelte di investimento siano sempre adeguate, la strutturale debolezza del Paese esercita una forte attrazione sui criminali che colpiscono dove le vulnerabilità sono più evidenti. Di certo la difficile congiuntura non fermerà gli attacchi cyber. Così come nel 2021, in piena emergenza pandemica, non sono diminuiti gli attacchi gravi rispetto all’anno precedente (2.049 in totale, pari a un + 15%), con il 31% delle grandi imprese italiane a denunciare l’aumento degli attacchi nell’ultimo anno.
La difficoltà nel vedere i vantaggi di investire nella cybersecurity da sempre è un freno alla crescita della spesa. «Il ritorno sugli investimenti in sicurezza non è facilmente calcolabile, né a volte facilmente accettabile», rileva Marco Catino, sales engineer di Zscaler. «Questo perché l’azienda è operativa anche senza investimenti in ambito cybersecurity, fino a che un attacco informatico non mette in evidenza i limiti della mancanza di investimenti. Come con l’RCA per l’automobile: fino a che tutto funziona, sembra una spesa superflua e fastidiosa, ma quando serve siamo contenti di averla».
Il rischio che la sicurezza informatica possa perdere importanti investimenti è reale. Meglio allora non farsi troppe illusioni. È improbabile che nei prossimi mesi le aziende riescano a investire molto di più. Quando le risorse sono scarse i margini di manovra sono limitati. Tuttavia, il rischio che aziende e organizzazioni sottovalutino l’importanza della protezione di dati e sistemi, secondo Ivan De Tomasi, country manager Italy & Malta di WatchGuard Technologies è più basso rispetto al passato. «Fino ad alcuni anni fa non si investiva proprio sulla sicurezza, oggi c’è più informazione e formazione e la maggior parte delle aziende non sottovalutano più questo tema». Esclusa, qui come in altri settori, la possibilità di appellarsi a facili soluzioni, una strada percorribile è la determinazione a puntare a un equilibrio ottimale tra efficacia dei budget nel contrasto alle minacce e sostenibilità economica.
L’OPZIONE MSSP
La sempre possibile contrazione dei budget per la sicurezza potrebbe spingere nuove aziende a spostare i propri investimenti verso i fornitori di sicurezza gestiti, i managed security service provider (MSSP), una tendenza peraltro già in atto da tempo. «IDC rileva una forte crescita della spesa delle aziende italiane in servizi gestiti nell’ambito della sicurezza» – conferma Pandolfi di IDC. «In base alle stime riferite al 2022, il mercato italiano registrerà una crescita su base annua del 19%, con una forte accelerazione della spesa negli ambiti di monitoraggio e gestione in outsourcing della rete e degli endpoint». Le aziende si trovano oggi ad affrontare numerose sfide che derivano da alcuni fattori ricorrenti, come la necessità di gestire il lavoro da remoto, l’esplosione dell’Internet of Things, la convergenza IT/OT e una superficie d’attacco più estesa rispetto al passato. «A questo scenario in trasformazione si associano le difficoltà nel trovare professionisti qualificati nell’ambito della cybersecurity rispetto alle reali esigenze aziendali». In questo scenario, tenere il passo con la crescente sofisticatezza degli attacchi cyber non è semplice e molto spesso l’unica via d’uscita è rivolgersi a fornitori specializzati nel monitoraggio e nella gestione delle security operation.
Per Sofia Scozzari, membro del Comitato Scientifico Clusit, esternalizzare i servizi di sicurezza, quando è possibile farlo, per motivi di compliance e controllo oppure per salvaguardare gli investimenti fatti negli anni, risulta non solo conveniente ma anche la soluzione più valida. «Ad esempio, nel caso delle valutazioni di sicurezza, dove ha senso che sia una figura esterna a effettuare le verifiche e a fornire indicazioni sulle azioni correttive. Soprattutto per le PMI, spesso afflitte dalla carenza di personale tecnico da dedicare all’IT e ancor di più alla cybersecurity. In particolare, in un momento in cui anche le risorse da dedicare all’ HR sono molto limitate. I costi dei servizi gestiti – prosegue Scozzari – possono essere impegnativi, ma è prioritario, in particolare per una piccola azienda, valutare correttamente i rischi potenzialmente devastanti in caso di compromissione dei sistemi». Le PMI, in genere, credono di essere meno esposte alle minacce informatiche e se da una parte è vero che la superficie di attacco è minore rispetto a una grande azienda, dall’altra chi attacca sa benissimo che le chance di successo con le piccole realtà sono maggiori. «Detto questo, i fornitori di servizi di sicurezza gestita devono tuttavia abituarsi a predisporre offerte flessibili e scalabili in modo da riuscire a servire anche aziende dai budget ridotti», sottolinea Scozzari.
Anche per De Tomasi di WatchGuard Technologies la contrazione dei budget potrebbe spingere ancora di più le aziende verso i MSSP e, quindi, verso un’offerta di sicurezza a canone. «Più facile far approvare alla dirigenza un’offerta a canone splittata sull’intero anno che non investimenti immediati e onerosi per soluzioni proprietarie». La resistenza maggiore su cui bisogna lavorare è la diffidenza: affidare a un partner esterno la gestione della sicurezza della rete aziendale richiede la presenza di un partner fidato, capace di instaurare solide relazioni con l’azienda cliente. Catino di Zscaler sottolinea in tal senso l’importanza di scegliere con attenzione: «Affidarsi a un MSSP rappresenta sicuramente un’opportunità legata all’accesso a competenze e processi già definiti di provata validità. Occorre però prestare molta attenzione alla scelta del fornitore, che deve portare enorme valore. Altrimenti, una gestione interna rimane l’alternativa più saggia ed economica». Una scelta che sarà tanto più facile da fare «Quanto più aumenterà la consapevolezza sui temi cyber», sottolinea Andrea Paita, cybersecurity services manager di S3K. «Un cliente consapevole percepisce l’importanza di avere un fornitore specializzato e aggiornato per difenderlo meglio di quanto non possa difendersi da solo». Tecnologia e soluzioni devono essere accompagnati da servizi di consulenza altamente qualificati che guidino il cliente nelle proprie scelte, e da servizi aderenti alle specifiche esigenze. «Anche se – evidenzia Scozzari – l’azienda ha sempre la responsabilità di stabilire le corrette priorità di intervento in funzione anche della propria valutazione del rischio».
ANALISI DEI RISCHI QUESTA SCONOSCIUTA
La complessità dello scenario cyber rende necessario studiare una strategia di protezione che tenga conto delle specificità dell’azienda, in termini di asset, architettura IT e logiche di business. «Le minacce a cui si è maggiormente soggetti variano in base al settore e alle dimensioni dell’azienda, all’esposizione alle problematiche, al modello di business e gli strumenti utilizzati, alla consapevolezza delle problematiche e le soluzioni già in uso», afferma Sofia Scozzari di Clusit. «Una corretta valutazione di questi elementi consente di dotarsi di una strategia di sicurezza personalizzata e molto più efficace». Progettare e adottare una strategia di difesa contro gli attacchi informatici sgombera il campo da preconcetti fuorvianti. «Purtroppo, si continua a cercare la soluzione di sicurezza unica, in grado di gestire tutte le minacce e proteggere a 360 gradi. Al contrario, una corretta strategia di sicurezza dovrebbe evidenziare la molteplicità delle minacce cyber. Le soluzioni, quindi, dovrebbero a loro volta prevedere numerosi step, tecnologici, organizzativi ma anche formativi».
Formulare una strategia che sia aderente alle reali esigenze dell’azienda è sempre impegnativo. Soprattutto quando manca un’analisi preliminare dei rischi. «In generale, le piccole e medie imprese non hanno il personale e le competenze necessarie per valutare correttamente i rischi e le vulnerabilità della sicurezza», afferma Richard de la Torre, technical product marketing manager, enterprise solutions di Bitdefender. Mancanze alle quali si somma, almeno per una parte ancora consistente di aziende, un sostanziale disinteresse verso questi temi. «I numeri nel rapporto Censis 2022 sulla Cybersecurity rappresentano un contesto sociale italiano parzialmente cosciente dei rischi dovuti ad attacchi informatici e attività illegali correlate», rileva Dario Sergi, senior security engineer di Westcon. «Il 38% del campione dichiara di non essere preoccupato o di non proteggersi in alcun modo dai rischi informatici. Questo tipo di sensibilità diffusa ha effetti anche all’interno delle imprese, dove spesso viene sottostimato il rischio informatico e i rischi associati in funzione delle necessità di business». Una lacuna che tenta di colmare il Cyber Index PMI, uno strumento per valutare il rischio di attacchi informatici, nato dal protocollo d’intesa tra Confindustria, Generali e l’Agenzia per la Cybersicurezza Nazionale (ACN) e sviluppato con il contributo dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano. Pensato per essere utilizzato come strumento di autovalutazione standard per consentire alle PMI di misurare il proprio grado di maturità nell’affrontare la minaccia cyber all’interno del proprio settore, il Cyber Index Pmi, nelle intenzioni di chi ha sviluppato il progetto, permetterebbe di adottare le misure tecnologiche e organizzative più adatte per innalzare il livello di protezione e stimare il cosiddetto rischio residuo. IDC coglie altri segnali incoraggianti di maggiore coinvolgimento da parte delle PMI. «Anche le aziende più piccole negli ultimi anni hanno intrapreso strategie di trasformazione digitale che hanno impattato i processi interni, le modalità di lavoro, la gestione dei partner e dei fornitori e la relazione con i clienti», afferma Pandolfi di IDC Italia. «Da una delle ultime rilevazioni condotte in Italia è emerso però che le realtà con meno di 100 addetti non pongono ancora in cima alle loro priorità di investimento le tecnologie di sicurezza evolute, in quanto stanno puntando principalmente su altre tipologie di investimenti, ad esempio software o hardware per la produttività, la progettazione e la collaborazione interna».
LA SITUAZIONE DELLE PMI
La minore complessità architetturale e tecnologica delle piccole imprese, sulla carta sembrerebbe garantire loro una maggiore tranquillità. «In realtà, molto spesso anche nelle PMI si riscontra un certo livello di vulnerabilità alla quale però non si associa la capacità di attirare e trattenere talenti dell’area cybersecurity o di fare adeguati investimenti in strumenti avanzati», afferma Pandolfi. Molte piccole imprese utilizzano esclusivamente strumenti di sicurezza standard, come la protezione antivirus degli endpoint, i backup, i firewall, a cui si associano poche attività di formazione dei dipendenti. «Per questo, negli ultimi anni sono diventate uno dei bersagli target degli attacchi cyber, con impatti spesso devastanti. In molti casi, l’assenza di strumenti di monitoraggio evoluto non permette loro neppure di rendersi conto di aver subito un attacco o di essere state un veicolo per sferrare un attacco ad altre aziende, magari partner o fornitori». La diffusione degli incidenti di sicurezza ha certamente alzato il livello di attenzione sulla protezione dei propri asset, tuttavia, osserva Paita di S3K: «Dal nostro punto di osservazione come managed security services provider che offre servizi SOC, non sempre questa consapevolezza porta a un processo ben definito di valutazione e gestione di rischi e vulnerabilità».
LE VULNERABILITÀ SONO NOTE MA…
È indicativa l’incapacità di molte aziende di adattare rapidamente i propri piani di sicurezza alle minacce, anche quelle più datate. Da anni, infatti, accanto una continua evoluzione delle tecniche di attacco utilizzate dai cybercriminali assistiamo al reiterato impiego di strumenti conosciuti e allo sfruttamento di vulnerabilità note. Secondo il già citato rapporto Clusit 2022, chi attacca può ancora affidarsi con successo allo sfruttamento di procedure d’attacco conosciute, tuttavia efficaci su oltre la metà degli obiettivi individuati. «Combattere lo sfruttamento delle vulnerabilità note è un processo meno banale di quello che si potrebbe pensare», afferma Sofia Scozzari di Clusit. «L’installazione tempestiva delle patch di sicurezza e degli aggiornamenti dovrebbe essere sufficiente ad arginare il problema. Ma spesso questa azione è contrastata dalle esigenze di business che, in particolare in ambienti proprietari, utilizzano applicazioni compatibili solo con determinati sistemi». Il riferimento è all’obsolescenza di sistemi operativi non più supportati, installati all’interno di dispositivi e apparecchiature che per varie ragioni non possono essere modificate. Un problema quasi insuperabile quando contrattualmente non è contemplata la possibilità di effettuare il patching. Così come può diventare un problema serio la capacità limitata di prevenire le vulnerabilità in applicazioni sviluppate da terze parti che incorporano componenti open source al proprio interno. Fermo restando che l’attività di patching in ambienti critici richiede sempre tempo per testare in maniera opportuna gli aggiornamenti e scongiurare fermi imprevisti delle attività. «Un processo – rileva Scozzari – che in presenza di applicazioni critiche può richiedere settimane, un lasso di tempo in cui i criminali possono procedere indisturbati nelle loro attività malevole».
LA SICUREZZA È UN PROCESSO CONTINUO
Pensare alla cybersecurity come un processo continuo è la formula a cui spesso si ricorre sia per qualificarne l’efficacia sia per sottolineare la necessità di costanti investimenti in tecnologie, competenze e formazione. «Come quasi ogni processo che ci accompagna nel lungo periodo, nell’IT, nella security, ma anche al di fuori della tecnologia, si tratta di processi ciclici che si pongono come obiettivo il continuo miglioramento», sottolinea Catino di Zscaler. «Tipicamente, in un processo ciclico abbiamo una fase di planning, in cui l’azienda decide cosa fare, una fase di operations, in cui si mette in campo quanto pianificato, una di monitoraggio, con lo scopo di misurare l’efficacia di quanto implementato, una di analisi dei risultati ottenuti e di nuovo un planning in ottica di miglioramento». Anche per questo la cybersecurity dovrebbe essere intesa come un assesment continuo, programmato con scadenze regolari. Cercando di non trascurare nulla. «Non esiste una soluzione unica per risolvere il problema della sicurezza informatica su scala», afferma Matteo Brusco, distribution sales manager Italy & Spain/PT di N-able. «Ma il problema rimane ed è sempre possibile fare di più per proteggere meglio sé stessi, il proprio personale, i propri clienti e il proprio ecosistema connesso: dalla protezione delle e-mail alla gestione degli accessi; dal backup sicuro nel cloud all’autenticazione a più fattori su tutte le applicazioni aziendali. Occorre inoltre dedicare tempo alla formazione del proprio team e dei propri clienti per comprendere meglio i rischi informatici e come proteggere sé stessi, l’azienda e i clienti».
«Oltre all’aspetto tecnologico in cui la collaborazione tra le tecnologie e l’approccio multilivello supportano i servizi MDR, è necessario affiancare attività di educazione degli utenti, cyber hygiene, formazione continua. Importante in tal senso il supporto del partner di riferimento, che deve essere un vero esperto in materia e avere le competenze necessarie per gestire la parte di cybersecurity», afferma Fabio Buccigrossi, country manager di ESET Italia.
La terapia giusta secondo Maurizio Zacchi, Cyber Academy director di Cyber Guru, è un mix di consapevolezza e conoscenza: «Che può essere acquisita attraverso percorsi di formazione adattati ogni volta alle condizioni esterne, in continua evoluzione. La sfida di questi anni, infatti, è proprio quella di puntare molto di più sulla prevenzione che non sulla cura». Per Zacchi, gli strumenti principali da utilizzare devono basarsi sullo sviluppo delle caratteristiche difensive individuali per agire efficacemente sui comportamenti umani, il principale fattore di rischio. «Tra i più efficaci ci sono i sistemi integrati di e-learning e di e-training, con metodologia di training on the job e alcune formule molto innovative basate su una metodologia induttiva come quelle delle serie TV, che prevedono uno storytelling particolarmente coinvolgente, centrato sull’esposizione di casi reali di attacco cyber. Il concetto chiave è quello di costruire intorno all’azienda una barriera di personale preparato e aggiornato che non lasci ai criminali neanche uno spiraglio di possibilità».
Vincoli finanziari, parziale consapevolezza del rischio digitale, concorrenza con altre funzioni interne per accaparrarsi risorse scarse, fanno sì che la sicurezza informatica fatichi a reggere il passo con investimenti garantiti invece ad altre progettualità aziendali. In tal senso, il peso ancora limitato della security nei board delle aziende rallenta l’affermarsi del principio della sicurezza come processo continuo. «Certamente avere nel board un manager dedicato alla cyber security come il CISO, chief information security officer, può essere utile per valutare correttamente sia gli investimenti sia l’emergenza delle minacce informatiche» osserva Scozzari. «Se i rischi informatici in passato potevano essere relegati solo al comparto IT, e quindi sottostimati, gli ultimi anni ci hanno insegnato quanto gli impatti in caso di compromissioni possano avere effetti rilevanti non solo in termini tecnologici ma anche economici, legali e reputazionali».
La security intesa come qualcosa che non si esaurisce al momento del login è l’aspetto che sottolinea invece Gastone Nencini, country manager di Trend Micro Italia. «Qualsiasi azione durante il lavoro quotidiano può cambiare la postura di sicurezza dell’azienda. Ecco perché abbiamo sviluppato e inserito nei nostri software il concetto di rilevazione dei rischi continuo, in modo da poter informare l’utente del cambiamento del livello di rischio della propria organizzazione come conseguenza delle azioni svolte».
Se la sicurezza va intesa come un processo in continua evoluzione che richiede un approccio consulenziale e progettuale, allora anche al fornitore di sicurezza bisogna essere in grado di chiedere la disponibilità a progettare in partnership soluzioni tecnologiche in linea con i desiderata dell’azienda. Sempre di più, infatti, l’affidabilità del partner viene valutata anche in base alle capacità di integrazione che riesce a introdurre. Così come si richiede una capacità di analisi dei processi di business adeguata a definire e mettere a terra progetti che bilancino le esigenze aziendali con ciò che la tecnologia è in grado di offrire. il partner, inoltre, deve possedere le competenze necessarie per effettuare l’analisi del rischio sul singolo progetto insieme all’azienda. Un approccio corretto da parte del vendor deve prevedere infine la capacità di integrare la propria offerta con quanto già fatto dall’organizzazione cliente, in termini ad esempio di investimenti in tecnologie concorrenti. Anche così si dimostra la capacità di prendersi carico di un progetto che integri quanto già fatto senza distruggere nulla.