Sicurezza It: da costo operativo a investimento per un business sostenibile

Giancarlo Vercellino di IDC spiega al CheckPoint Security Summit gli scenari emergenti in ambito security

La sicurezza assume un ruolo fondamentale perché grazie a una connettività sempre più diffusa e obiqua, all’esplosione dell’IoT, alla mediatizzazione della Business Life e al processo di Digital Trasformation in atto è diventata un fattore che è sempre più importante nell’abilitazione del business. Ad affermarlo è Giancarlo Vercellino, Research & Consulting Manager di IDC Italia, che durante l’edizione 2015 del Security Summit di Check Point Technologies ha presentato i risultati di una ricerca svolta dalle due organizzazioni su circa 1.500 It Manager a livello europeo, che porta alla luce anche un quadro dello scenario italiano, un territorio che si contraddistingue per alcune peculiarità.

In un mondo dove le minacce diventano sempre più presenti e pressanti, sia per quanto riguarda la frequenza che la dimensione diventa oltremodo decisivo sviluppare la consapevolezza necessaria per affrontare al meglio la nuova era della security che si prospetta, un’era dove la sicurezza non è più un problema meramente tecnologico ma si trasforma anche in un approccio organizzativo che deve innanzitutto tener conto da un lato della priorità di garantire l’efficienza economica del dipartimento It e dall’altro quella di assicurare performance in termini di servizio per portare avanti l’operatività aziendale.

I protagonisti sulla cyber scena – da enti governativi all’hacktivisimo di Anonymous, da chi si occupa di spionaggio industriale agli insider che si nascondono all’interno delle aziende stessa – sono più attivi che mai e non bisogna farsi trovare impreparati, motivo per cui le aziende italiane si dicono pronte a destinare il 5% del loro budget It ad investimenti in ambito sicurezza, una cifra che tutto sommato però rileva ancora una volta una mancanza di comprensione reale dei rischi cui oggigiorno sono sottoposte le aziende di ogni tipo.
Ipotesi confermata dal fatto che le imprese si dichiarano certificate a livello nazionale e internazionale come se questa fosse una reale tutela contro gli attacchi o che affermano di non possedere asset di valore, insieme al fatto che la possibilità di un attacco viene percepita come una possibilità remota.
Una non corretta valutazione del rischio da parte delle aziende nostrane emerge anche dal fatto che le minacce più temute siano ancora una volta quelle più tradizionali, come i malware “documentati”, mentre gli attacchi zero-day vengono pesantemente sottovalutati.

Detto questo va però anche sottolineato che la sicurezza It resta comunque un tema centrale per gli It Manager, che però lamentano difficoltà di vario tipo: finanziarie (nelle organizzazioni con meno di 250 addetti), problemi nella definizione del ROI per questo tipo di attività (dai 250 ai 500 addetti), carenza di competenze sofisticate (dai 500 ai 1.000 addetti) e una situazione caotica dove le imprese più grandi (oltre i 1.000 dipendenti) si trovano spinte da regolamenti pressanti e attacchi stringenti che non consentono loro di fermarsi a chiedersi come affrontare il problema al meglio.

I motivi che invece portano le aziende ad investire in sicurezza sono relativi alla tutela della continuità del business, alla tutela del brand aziendale e soprattutto si investe per evitare o limitare i costi per le azioni di recupero dei sistemi nel caso in cui questi dovessero venire compromessi.

Quello che emerge dal quadro tracciato da Vercellino è che manca una visione strategica a lungo termine e per questo bisogna lavorare soprattutto in termini di cultura abilitando gli It Manager ad affrontare anche le sfide più complesse grazie alla maturazione di nuove skills. Tuttavia un segnale incoraggiante arriva dal fatto che per il 2015 il 16% del campione intervistato conta di espandere di una o due cifre il budget It, anche se il 30% dichiara di mantenere un budget stabile rispetto al passato. Ci sono poi i Big Spender che investono più della media: un segno positivo che conferma che la sicurezza non è vista più solo come un problema tecnico ma come un fattore abilitante di altri progetti di business.