Gli investimenti in ambito security, seppure lentamente, crescono, trainati anche dalle problematiche nate con le attività di migrazione verso il cloud e dalla necessità di essere compliant, ma mancano ancora un’awarness adeguata sia a livello di dipendenti, tradizionalmente l’anello debole della catena, sia a livello di board, che continua a proporre nei confronti della sicurezza un approccio reattivo che andrebbe invece sostituito con la visione della security non come un costo inutile, quanto piuttosto come un fattore abilitante e differenziante sul mercato per l’azienda.
E’ questo quanto emerge a grandi linee dall’edizione 2017 della Fortinet Global Enterprise Security Survey, un’indagine condotta su un campione di IT Decion Maker di 16 countries, compresa l’Italia, e cha visto coinvolte a livello globale 1.800 aziende, da realtà enterprise a piccole e medie. Il nostro Paese ha contribuito con 100 interventi da parte di IT Decision Maker provenienti da 100 diverse realtà.
Lo stato della cyber security
Un dato importante, ma che non costituisce una grande novità, è che negli ultimi due anni 8 aziende su 10 hanno subito un security incident (l’85% a livello globale e l’81% in Italia), con malware e ransomware come principali responsabili.
Questo scenario ha portato le aziende ad investire maggiormente in sicurezza It, anche se all’interno di un budget It che è stato piuttosto risicato.
Gli investimenti nel 2017, anche in Italia, sono stati indirizzati soprattutto all’upgrade dell’esistente infrastruttura di sicurezza. Le aziende concentrano gli investimenti in progetti di refresh tecnologico, upgrade e in alcuni casi in progetti di cross sell. Il 60% del campione ha però rivelato di investire anche in nuove soluzioni di sicurezza, un dato che in Italia scende al 48%, forse per la nostra resistenza a livello culturale ai processi di cambiamento e la nostra minore flessibilità rispetto ad altre realtà.
Un’area sulla quale c’è ancora molto da fare è l’area training, certificazioni e employee education: si tratta di un tema fondamentale per la sicurezza, ma per il quale si spende ancora troppo poco.
La vision del Board sulla security
La survey ha indagato anche come la sicurezza viene vista dal Board dirigenziale. Quasi la metà degli IT Decision Maker intervistati sostiene che il Board non ha un adeguato livello di attenzione verso le problematiche di security.
A prevalere, da parte del Board, è un approccio reattivo: l’interesse dei dirigenti viene richiamato solo a violazione avvenuta e si traduce in una caccia al colpevole, che di solito viene ravvisato in un singolo individuo, quando invece sappiamo che il problema da porsi sarebbe quello dello spending e dell’adeguatezza dello spending. Ed in effetti dall’analisi emerge che nel Board manca una consapevolezza sulla necessità di investimenti in ambito sicurezza perché c’è la convinzione che il budget allocato sia corretto per affrontare queste tematiche, cosa smentita dal Dipartimento It.
Se però gli intervistati ritengono che il tema dell’IT security non è ancora una priorità a livello del Board e di non avere un budget adeguato, dall’altro lato alcuni driver stanno guidando l’attenzione verso l’esigenza sempre più spinta di sicurezza. Innanzitutto il tema legal e compliance, grazie alle regolamentazioni europee come NIS e GDPR, che entrerà in vigore nel maggio 2018. A seguire il cloud: il 78% del campione in Italia (il 74% a livello globale) ha affermato che la migrazione al cloud renderà la sicurezza una priorità in crescita, mentre per l’86% in Italia e il 77% a livello globale questa transazione renderà la sicurezza un aspetto chiave anche per il Board.
Quali sono le challenge per gli IT Decision Maker?
Secondo il campione intervistato la necessità preponderante è quella di una maggiore educazione attraverso un maggior coinvolgimento dei dipendenti: è necessario investire in educazione/formazione/awarness.
Altri bisogni sono quelli di incrementare il numero di investimenti in processi nuovi per snellire e rispondere in caso di minacce, investire in processi e policies per la sicurezza interna, educare anche il board e il C-level ad una maggiore sensibilità non per la ricerca capro espiatorio ma per farli arrivare alla consapevolezza che la security non è un costo ma piuttosto un abilitatore/differenziatore. Si registra poi il bisogno di investire in tecnologie di sicurezza, che si scontra però con il problema di budget e di coinvolgimento del board.
L’Italia ricalca più o meno questi dati, ma c’è un’attenzione minore alle tecnologie nuove e diverse su cui investire, probabilmente per una questione culturale di minor flessibilità e un attitudine al cambiamento più frenata.
Gli investimenti
Un dato interessante è che quest’anno la metà del campione a livello globale e il 44% in Italia hanno fatto reali investimenti e per il 2018 lo scenario apparirebbe essere ancora più roseo.
Il 67% su scala globale e il 57% in Italia afferma che gli investimenti sono già stati pianificati.
Le sfide alle quali si guarda sono relative al fatto che la sicurezza è vista con un viaggio continuo, che non finisce mai, che comporta la necessità di portare avanti investimenti per affrontare uno scenario in perenne mutamento. Il cloud, poi, è visto come un’opportunità ma contemporaneamente anche come una fonte di preoccupazione. Terzo elemento è poi il tema di adeguamento alle policy imposte dai legislatori, visto come un fastidio.
Altra sfida è legata al fatto che la crescita delle performace porterà ad una maggiore esigenza di connettività di rete che a sua volta genererà un maggiore traffico e una quantità di dati che per le aziende è difficile gestire.
A questo proposito più del 50% del campione si rende conto che deve rivedere l’approccio, ridurre le soluzioni punto-punto a favore di soluzioni che possano far fronte ad attacchi multivettoriali.