CloudSicurezza

Ricerca Fortinet, per i board aziendali la sicurezza non è priorità assoluta

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Sotto attacco sono subito tutti pronti a cercare il responsabile ma quando si tratta di fare il budget la sicurezza non è più priorità assoluta. Una ricerca Fortinet evidenzia percezioni, tendenze e contraddizioni delle aziende sul tema

Arriva alla terza edizione Fortinet Gloal Enterprise Security Survey, la ricerca del vendor di sicurezza sui trend globali e sulla percezione nelle aziende medie e grandi di ogni segmento. Fortinet per questa edizione ha condotto la Survey in 16 Paesi, tra cui l’Italia, rappresentata da un campione di 100 aziende, come gli altri Paesi, con l’unica eccezione per gli Usa con 400 aziende. Si tratta di realtà per un terzo fino a 500 dipendenti, per un terzo tra i 500 e i mille mentre quattro su dieci sono di classe enterprise.

Considerato il nostro tessuto produttivo, invece, il campione ha rispettato le peculiarità italiane, quindi sono solo 36 su 100 le aziende enterprise e ben 42 quelle tra i 250 e i 500 dipendenti. Uno spaccato quindi molto interessante, anche perché si tratta di una ricerca impegnativa con risposte scritte, date dai Decision Maker aziendali (CIO e CISO), con importanti rilievi sulla percezione del problema sicurezza da parte dei board aziendali.

Ci offrono una lettura dei risultati Filippo Monticelli, Regional Director per l’Italia e Cesare Radaelli, Senior Director Channel Account Fortinet Italia.
Le macro evidenze sono molto interessanti. La prima riguarda la mancanza di una prospettiva condivisa tra il management aziendale e chi si occupa della sicurezza IT in azienda, per cui il management non vede nella cybersecurity una priorità assoluta, salvo quando la propria azienda viene colpita e scatta allora la caccia al responsabile.
La seconda riguarda l’evoluzione della struttura IT aziendale per cui con l’implementazione massiccia anche in Italia di soluzioni cloud anche la sicurezza diventerà una priorità crescente. 

La Sicurezza - Non è una priorità per i membri del board aziendale
La Sicurezza – Non è una priorità per i membri del board aziendale

Partiamo dallo scenario reale di ciò che accade. Il dato più importante è senza dubbio quello relativo agli incident. L’81 percento del campione ammette di averne registrati, anche di importanti, negli ultimi due anni, mentre a livello globale la percentuale relativa a chi è stato colpito da security breach è ancora più elevata (84 percento).

E il vettore di attacco più comune sono malware e ransomware. Quando si registra l’attacco ecco che scatta anche l’attenzione da parte del board, portato però in oltre il 30 percento dei casi a cercare in un unico elemento le eventuali responsabilità. E’ questo il momento in cui si concepisce chiaramente come il trend ineluttabile sia che la sicurezza non è solo un problema del dipartimento IT.

Filippo Monticelli, Regional Director per l'Italia
Filippo Monticelli, Regional Director per l’Italia

Lo si deve ammettere anche in relazione alla pressione portata dai nuovi regolamenti pronti a entrare in vigore o già operativi: GDPR e NIS portano le questioni sui tavoli dei consigli di amministrazione.
E poi è quasi unanime (83 percento) il consenso relativo alle nuove sfide portate dal cloud, mentre – almeno in Italia – ancora si ragiona poco su quelle legate alle problematiche IoT (Internet of Things). Singolare invece come appena il 48 percento dei partecipanti alla Survey dichiari di avere in programma investimenti per la sicurezza in cloud nei prossimi 12 mesi. 

Le sollecitazioni insomma non mancano, eppure la cybersecurity fatica a trovare spazio come priorità assoluta. E’ così addirittura per il 44 percento dei Decision Maker italiani quando considerano la sensibilità dei propri consigli di amministrazione. Anche se ben il 53 percento dichiara di aver investito oltre il 10 percento del budget proprio per la sicurezza. E il 72 percento dei CISO/CIO vede il proprio budget aumentato rispetto all’anno precedente. 

Ecco che si spende di più per il refresh tecnologico, decisamente meno per attività di formazione e training e anche se si riconoscono queste come criticità importanti non rappresentano mai quelle di maggior spesa. Perché l’approccio è proprio quello di posizionare l’azienda al meglio rispetto ai rischi che si corrono di volta in volta più che introdurre con un piano ragionato la cultura della prevenzione, la sicurezza quindi è importante ma non prioritaria, crescono i budget dedicati ad essa, ma non quanto atteso, e in Italia meno che a livello globale. 

Fortinet Survey - La spesa per la sicurezza. Una presenza importante, ma non prioritaria
Fortinet Survey – La spesa per la sicurezza. Una presenza importante, ma non prioritaria

Una consapevolezza importante, sentita, è invece quella relativa a una visione della “security” come percorso, come viaggio lungo un continuum, senza un vero punto di approdo perché la problematica è in continua evoluzione e bisogna ricercare più che la soluzione best of breed quella best of need. Lo pensa il 76 percento del campione globale, che correla la percezione al fatto che la crescita delle performance di calcolo e di traffico sulle reti diventerà sempre più  fattore sensibile da considerare (lo dichiara il 50 percento del campione).

L’architettura di sicurezza Fortinet, la Security Fabric, è coerente con i trend emergenti, vede l’infrastruttura aziendale non come un perimetro da non violare ma come un terreno in cui i device che dialogano tra loro, i dati, la rete fanno parte di un campo unico di azione da proteggere. Con tre criteri base: l’estensione granulare della copertura, la potenza necessaria affinché la soluzione di sicurezza non rappresenti un ostacolo alle performance e pronta ad automatizzare controllo e processi di verifica.

Inutile aggiungere che mentre gli addetti ai lavori concordano sul fatto che la segmentazione della rete sia irrinunciabile per la sicurezza tout court, proprio come “si evita che affondi il sommergibile grazie ai comparti stagni sigillabili”, peccato che solo il 18 percento del campione che risponde alla survey per l’Italia abbia intenzione di farlo da qui al 2018.