[section_title title=Sicurezza It: quale lo scenario? – Parte 2]
In Italia il mercato della sicurezza assume delle peculiarità del tutto nazionali. Le aziende si dicono pronte ad effettuare investimenti pari al 5% del loro budget It nell’ambito security, una cifra che però si rivela ancora insufficiente per fronteggiare il panorama delle minacce cui siamo esposti. A mancare forse è anche una comprensione reale dei rischi che si corrono, una sorta di consapevolezza che dovrebbe invece guidare verso una nuova era della sicurezza. Le aziende sono convinte di dormire su sette cuscini semplicemente perché affermano di essere compliant e certificate sia a livello nazionale che internazionale, e sostengono di non possedere asset di valore, insieme al fatto che il rischio di essere attaccati è percepito come una possibilità piuttosto remota. Emerge quindi un sostanziale atteggiamento di sottovalutazione del rischio che è piuttosto pericoloso perché al contrario il responsabile della sicurezza It aziendale deve essere consapevole dell’entità del pericolo e deve essere messo nella condizione di gestirlo al meglio.
Dalla ricerca emerge anche che le minacce viste come più rischiose sono quelle di concezione tradizionale, come i malware “documentati”, mentre gli attacchi zero-day anche se sono conosciuti sono percepiti come un rischio meno stringente, tendenza che sottolinea ancora una volta come nelle aziende italiane non ci sia una corretta valutazione del rischio.
La sicurezza It resta comunque centrale per gli It Manager, anche se nelle aziende che hanno dai 250 ai 1.500 addetti questa necessità concorre fortemente con quella di garantire un business agile e l’operatività sul mercato.
Le difficoltà più importanti che rivelano di dover affrontare i capi dei dipartimenti It sono strettamente correlate alle dimensioni dell’organizzazione: mentre le aziende che hanno meno di 250 dipendenti lamentano carenza di risorse finanziarie, quelle più grandi, dai 250 ai 500 addetti, individuano il problema nella definizione del ROI per questo tipo di attività. Ancora: le aziende con addetti che vanno dai 500 ai 1.000 sottolineano invece che il problema consiste nella carenza di competenze sofisticate per garantire una sicurezza complessa. Infine, le aziende con più di 1.000 dipendenti si trovano in una situazione completamente caotica: trovandosi travolte da regolamenti pressanti e attacchi stringenti non hanno il tempo di fermarsi a chiedersi come affrontare il problema al meglio.
Un altro tema emerso dalla survey è quello delle motivazioni che stanno alla base degli investimenti in sicurezza. Il messaggio chiave, in questo caso, è “back to basic” perché visto che la sicurezza viene vista come un obiettivo irrealizzabile bisogna almeno farsi trovare pronti con un piano B che garantisca la tenuta dell’operatività aziendale. Si investe, dunque, innanzitutto per tutelare la continuità del business, ma anche per evitare un danno al brand e soprattutto i costi per le azioni di recupero dei sistemi nel caso in cui questi venissero compromessi.
Quello che è chiaro è che manca ancora una visione strategica a lungo termine e per questo bisogna lavorare molto soprattutto in termini di cultura: gli It Manager di fronte a certe tipologie di rischi non hanno ancora sviluppato delle risposte chiare e vanno perciò tenuti per mano alla ricerca dei giusti strumenti per rispondere alle minacce più avanzate.
Un primo segnale incoraggiante arriva dal fatto che per il 2015 il 16% del campione intervistato conta di espandere di una o due cifre il budget It, anche se il 30% dichiara di mantenere un budget stabile rispetto al passato. Ci sono poi ovviamente i Big Spender che investono più della media: un segno positivo che conferma che la sicurezza non è vista più solo come un problema tecnico ma come un fattore abilitante di altri progetti di business.
