Quale rapporto tra investimenti IT e sicurezza? Data Manager intervista IDC, Clusit e PRES

Gli attacchi informatici sono all’ordine del giorno. A volte eclatanti a volte subdoli. Cresce la consapevolezza dell’importanza di proteggere il più possibile i dati e la nostra stessa presenza in rete. Ma quante risorse occorre dedicare e investire, sottraendole magari al core business aziendale?

Non sono molti in Italia coloro che ritengono che la (in)sicurezza IT sia una piccola grande emergenza. Episodi però come quello dello scorso maggio, protagonista il virus WannaCry e la spettacolare infezione di centinaia di migliaia di computer in tutto il mondo, sembrano fatti apposta per far cambiare presto idea. WannaCry non è stato il più devastante, né sarà l’ultimo. Ma di sicuro ha contribuito ad alimentare il clima di timore verso il prossimo cyberattacco di massa o della prossima ondata di ransomware. La buona notizia, vogliamo essere ottimisti, è che la sicurezza non è più la cenerentola delle priorità aziendali. «Secondo gli ultimi sondaggi, tra le imprese italiane sopra i 50 addetti, l’importanza attribuita alla sicurezza è cresciuta oltre il 70 per cento, superando persino la necessità di aggiornare le business applications» – conferma Giancarlo Vercellino, research & consulting manager di IDC Italia. Il salto di qualità nei crimini informatici ha finito per incidere nella carne viva delle decisioni di investimento di aziende e istituzioni. Contribuendo alla scalata della security verso la “top three” delle priorità strategiche.

«Nell’ultimo anno, forse anche a causa delle cronache dei giornali, abbiamo osservato una tendenza interessante all’espansione della spesa in sicurezza IT in quasi il 60% delle imprese sopra i 50 addetti. Probabilmente il segnale di una inversione di tendenza importante» – afferma Vercellino. Un cambio di direzione ampiamente annunciato. IDC prevede un aumento della spesa globale in hardware, software e servizi di sicurezza del 38 per cento entro il 2020, che farà lievitare il valore degli investimenti dagli attuali 73,7 miliardi di dollari a oltre 100 (101,6) entro il 2020. Con tassi di crescita più che doppi rispetto a quello degli investimenti in IT. Il dato globale però si discosta parecchio da quello assai meno corrusco del nostro Paese. Il primo scollamento è tra agenda strategica e comportamenti operativi di spesa. «Il budget rate della sicurezza sulla spesa IT generale ammonta a pochi punti percentuali» – osserva Vercellino. Ai buoni propositi – il “sentiment”, senz’altro positivo – non fanno seguito comportamenti coerenti. Un conto è rispondere a un sondaggio sperticandosi in lodi verso le virtù benefiche della security, sul valore degli investimenti, e sulla volontà di farli. Altro è far seguire alle parole i fatti. Con il rischio – stigmatizzato da Vercellino – «di cronicizzare la vulnerabilità specifica delle imprese italiane».

Secondo Mauro Cicognini, responsabile seminari di CLUSIT questo iato si spiega in parte con lo scarto culturale tra manager IT e non. «Per i primi, la sicurezza è uno dei capitoli più importanti, anche se i primi in ordine di grandezza saranno sempre gli investimenti dedicati alle applicazioni di business, all’infrastruttura, alla connettività. Tra i manager non informatici invece continuiamo a riscontrare un’informazione insufficiente. Basata in gran parte su quello che si sente dire nei telegiornali e nelle trasmissioni televisive divulgative. Lacune – sottolinea Cicognini – testimoniate dalla scarsa comprensione dell’importanza dell’IT per il business. Al di fuori di un ambito specialistico, non trovo una consapevolezza adeguata nemmeno della centralità dell’informatica per le attività core di tutte le aziende».

BUDGET IN CRESCITA MA LE PMI STANNO A GUARDARE

Secondo IDC, gli investimenti in servizi di security – circa il 45 per cento degli investimenti totali – sono a livello globale la prima voce di spesa, con un fatturato attorno ai 13 miliardi di dollari. A trainare il mercato, sono i servizi gestiti. In questo quadro, però l’Italia fa eccezione. Con il software prima voce di spesa. «Se osserviamo i dati aggregati relativi all’evoluzione del mercato italiano raccolti da IDC, a guidare la crescita del settore è principalmente il comparto software, che quest’anno potrebbe attestarsi di poco sotto il 5 per cento» – afferma Vercellino. Un segmento che ha generato nel 2016 un giro d’affari complessivo superiore ai 300 milioni di euro. Spinto soprattutto dalla crescita delle applicazioni legate alla network security e alla gestione della security e delle vulnerabilità. Al secondo posto, le appliances – unified threat management, VPN, firewall, IDP, content – con una crescita di poco sotto al tre per cento e un CAGR 2016-2019 stimato in circa due punti percentuali, grazie ai buoni risultati delle soluzioni di UTM e VPN. «Un’area questa che sviluppa un valore complessivo non di molto inferiore ai 200 milioni di euro. In ambito servizi – IT Consulting e System Integration/Implementation – invece – ci muoviamo su un terreno intermedio. Qui, il giro d’affari supererà nel 2019 la quota di 600 milioni di euro» – continua Vercellino. Ma il segmento, investito da una profonda ristrutturazione dell’offerta di servizi proposti al mercato, potrebbe accelerare in modo ancora più significativo: «Quest’anno la Security as a Service potrebbe crescere per effetto del GDPR» – conferma Vercellino. «La necessità di arrivare preparati alla scadenza del maggio 2018 porterà infatti molte aziende a espandere i propri investimenti; soprattutto in quelle imprese la cui Data Transfer Policy ha sempre previsto finora il trasferimento dei dati su piattaforme cloud residenti al di fuori del perimetro europeo. Oltre il 60 per cento delle imprese con DTP extraeuropeo incrementerà gli investimenti in tecnologie di sicurezza per il cloud». Dati in crescita. Viziati però da una quota di investimenti in sicurezza rispetto al totale IT, ancora sottodimensionato. «L’aggregato complessivo della spesa in software per la sicurezza in Italia – valore superiore ai 300 milioni di euro – corrisponde a circa il 5 per cento di quella software complessiva» – mette in evidenza Vercellino. Una cifra attorno ai 6 miliardi di euro. Ritenuta da molti osservatori ancora largamente insufficiente. […]

RETI SENZA CONFINE E SUPERFICI DI ATTACCO IN AUMENTO

Da anni CIO, CISO e tutte le figure coinvolte nel processo lottano perché le loro richieste vengano approvate. Un braccio di ferro che continua ancora oggi con modalità in parte immutate. Non stupisce allora constatare quanto sia ancora folta la schiera di coloro che pensano che il budget per la sicurezza rimanga una coperta troppo corta.

«Molte aziende assegnano la maggior parte del loro budget a tre ambiti: rendere sicura la rete, aumentare i controlli su desktop e server, adottare meccanismi di gestione degli accessi sempre più raffinati. Questo approccio spesso però finisce per lasciare risorse limitate per le minacce negli ambiti cloud, dispositivi mobili e computer portatili» – conferma Cosimo Rizzo, sales engineering manager di PRES. «In realtà, una strategia di sicurezza efficace dovrebbe riuscire a proteggere l’organizzazione su tutti i fronti importanti per l’azienda. Come sottolineano i principali analisti del settore, oltre alla prevenzione, la capacità di rilevazione e di risposta agli incidenti di sicurezza, acquisisce sempre maggiore importanza. Ottenere visibilità attraverso sistemi avanzati per prendere le decisioni più opportune durante gli incidenti di sicurezza sarà una priorità fondamentale nei prossimi anni» – osserva Rizzo.

Fai clic qui per leggere l’intero articolo su Data Manager Online.