La cultura e i metodi, ancor prima delle tecnologie, possono contribuire alla sicurezza o alla insicurezza informatica di un'azienda. È questa la sintesi di una ricerca condotta da Freeform Dynamics per conto di Ca Technologies, con lo scopo di valutare i punti di debolezza delle attuali strategie di sviluppo e implementazione del software. L'indagine (“Integrating Security into the DNA of Your Software Lifecycle”) ha interpellato 1.200 responsabili It e business executive, fra cui 466 europei, non mancando di intervistare anche professionisti italiani, facendo emergere una diffusa e decisa fiducia nelle potenzialità del software. Per oltre il dei manager italiani, infatti, lo sviluppo del software supporta la crescita e l’espansione dell’azienda (92%) ed è un fattore di accelerazione della trasformazione digitale (91%).
Ma è anche vero, per la maggioranza degli intervistati italiani (65%), che le minacce alla sicurezza derivanti da problemi rilevati durante lo sviluppo del software siano una preoccupazione crescente. Ciò accade perché il tradizionale approccio, quello secondo cui i test di sicurezza vengono eseguiti solo a valle del processo di sviluppo, oggi è ormai inadeguato e insufficiente: agire così significa accorgersi dei problemi solo alla fine e porvi rimedio in modo non ottimale, se non frettoloso e raffazzonato.
Molto meglio sarebbe, sottolinea Ca Technologies, adottare l'approccio cosiddetto DevSecOps, quello cioè che prevede verifiche di sicurezza in tutte le fasi del processo di sviluppo software. Rispetto a ciò, la situazione delle aziende italiane è ambigua: da un lato i manager e i professionisti It si rendono conto della necessità di cambiare strada, ma dall'altro sembra faticare a mettere in pratica questo pensiero.
Il 91% degli intervistati di aziende italiane, infatti, ritiene essenziale o importante che la sicurezza diventi parte integrante del processo di sviluppo del software anziché essere aggiunta alla fine, e il 64% è un sostenitore del metodo DevSecOps (per lo Stivale, va detto, questo dato è il più basso in Europa, ben sotto l'88% della Francia). D'altro canto, solo il 24% può dirsi certo che la cultura e le pratiche della propria azienda rendano possibile applicare il modello DevSecOps. Ed è proprio la cultura, per sette intervistati italiani su dieci, il principale ostacolo all’integrazione della sicurezza nei processi.