L’interesse dei board aziendali per la sicurezza It è inversamente proporzionale alla costante crescita delle minacce cyber. È questo il pensiero di circa la metà dei decision maker It coinvolti nella Global Enterprise Security Survey di Fortinet, condotta su oltre mille decisori in tutto il mondo, di cui un centinaio in Italia. Uno scenario preoccupante, che testimonia lo scollamento fra chi deve fronteggiare gli attacchi e il management aziendale: quest’ultimo, evidentemente, non pensa che la cybersecurity sia una priorità assoluta, né un’area di interesse. Ma sono sufficienti un po’ di dati per capire che i vertici dovrebbero rivalutare la propria posizione. Ad esempio, la maggioranza (81 per cento) delle imprese italiane ha subìto un attacco negli ultimi due anni.
A colpire sono stati soprattutto malware, ransomware e social engineering. La quota di furti di dati è bassa ma probabilmente, secondo Filippo Monticelli, regional manager Italy di Fortinet, solo perché non è ancora obbligatorio comunicare i breach e perché le imprese del nostro Paese hanno una minore capacità di individuare i furti quando sono “nascosti” da infezioni e attacchi Ddos.
L'aumento delle incursioni ha però portato maggiori investimenti in sicurezza: il 64 per cento delle aziende italiane ha infatti aumentato il budget in questo senso. Ma le quote restano relativamente basse e oltre la metà delle organizzazioni non vi dedica più del 15 per cento della spesa It totale. Le aree di investimento chiave del 2017 sono state l’aggiornamento dei sistemi esistenti e l’implementazione di processi e policy di It security.
“Nel complesso siamo in linea con l’andamento della spesa globale, permane comunque un ritardo di 6-12 mesi nell’adozione di soluzioni innovative rispetto alle nazioni più evolute”, spiega Monticelli. La questione “macro” rimane ancora una e una sola: lo scarso coinvolgimento del board. Il 44 per cento del campione italiano indica che non vede un adeguato livello di attenzione della dirigenza alla It security e, quando c'è, l'approccio è reattivo (e non proattivo), a seguito di incidenti e alla ricerca delle responsabilità.
E il dito viene puntato spesso direttamente contro il dipartimento It, “quando sappiamo benissimo che i breach molto spesso sono legati a errori commessi da persone che non rientrano in quest’area”, aggiunge Monticelli. Il lato positivo, comunque presente, è che diversi fattori stanno incrementando l'attenzione del board verso la sicurezza: la paura o l'esperienza diretta di un attacco, il ricambio generazionale e lo sviluppo di nuove normative, come il regolamento europeo Gdpr che entrerà in vigore il prossimo 25 maggio.
Filippo Monticelli, regional manager Italy di Fortinet
Ma è soprattutto la transizione al cloud che porta i vertici aziendali a considerare i temi della security, perché lo spostamento di dati e carichi di lavoro coinvolge direttamente la dirigenza. L’86 per cento del campione italiano indica che gli investimenti in sicurezza a supporto del passaggio al cloud sono una priorità del board.
Per il prossimo futuro i responsabili della sicurezza hanno in mente alcuni punti critici su cui c'è evidentemente da lavorare. Quello in prima fila non è tecnologico, ma è la necessità di diffondere conoscenza sui temi della protezione e sulle possibili minacce, proprio per evitarle. Questo significa investire in formazione e training, far capire meglio ai dipendenti le policy seguite e anche pensare alla formazione del board.
Tra gli aspetti più tecnologici si nota invece la tendenza (espressa dal 41 per cento del campione italiano) a ridurre il numero di soluzioni installate di produttori diversi, in modo da arrivare a una infrastruttura più integrata e quindi più performante. Il tema delle prestazioni è importante e il 39 per cento degli intervistati indica di non riuscire a trovare una soluzione adatta all'aumento del traffico dati che va gestito in azienda.