Pubblicati i dati del ”Forecast: Information Security, Worldwide, 2016-2022, 2Q18 Update” di Gartner: nel 2018, gli investimenti globali in sicurezza informatica sono cresciuti del 12,4% rispetto al 2017.
Ne parliamo con Stefano Torelli, CTO di Seven IT.

Si parla di aziende sempre più consapevoli e attente alle tematiche legate alla sicurezza. Da cosa dipende questa tendenza?

I fattori da prendere in considerazione sono tanti. In primis, il contributo dei responsabili di sicurezza interni ed esterni alle aziende, come i Cyber Security Advisor. Il lavoro di sensibilizzazione portato avanti da queste figure ha sicuramente visto i suoi frutti nel 2018, anche nel nostro territorio. 
Resta comunque da considerare che in Italia molto dipende dalle normative: fino allo scorso anno ragionare in termini di sicurezza come investimento per una migliore competitività non era sufficiente.

 

Alludi al GDPR?

Ovviamente. Infatti, anche i numeri riportati da Gartner per il biennio 2018-19 lo dimostrano: saranno più del 30% le aziende che investiranno in servizi per l’adeguamento al GDPR. È anche importante considerare che non tutti sono già compliant al 100%. Magari, consigliati correttamente da uno studio legale, c’è chi ha scelto di adeguarsi solo a una parte della normativa, restando di fatto ancora sanzionabile. Ci aspettiamo, e speriamo, che le misure vengano adottate nel corso del tempo soprattutto dalle PMI, che probabilmente non hanno ancora compreso a pieno il rischio di una compliance solo parziale.

 

Parlando di PMI, che costituiscono buona parte del tessuto imprenditoriale italiano, Gartner mette in evidenza anche la mancanza di figure specializzate in information e cyber security. Come si riflette questo aspetto sul mercato dei servizi?

In Italia in pochi comprendevano l’importanza di questo tipo di attività e figure professionali. Infatti non stupisce che dall’entrata in vigore del GDPR la domanda di lavoro, soprattutto per gli esperti in sicurezza dei dati, sia cresciuta in modo considerevole. Lo stesso vale per la cyber security, attività storicamente vista come un costo puro e non un investimento cruciale per l’organizzazione. Spesso anche solo i backup erano mal gestiti e ci si poneva il problema quando ormai era troppo tardi.
La sensibilità al tema era purtroppo relegata alle multinazionali o alle aziende di grandi dimensioni distribuite su tutto il territorio italiano. Solo loro potevano permettersi figure specializzate e budget da destinare a queste attività, mentre le PMI restavano sempre più indietro. E gli ottimi professionisti del nostro paese rimanevano in stand by.
In questo caso, sono state necessarie misure di legge e relative sanzioni per fare la differenza, prima di tutto culturale, anche all’interno delle PMI.

 

Secondo Gartner, fino al 2019 sarà la privacy a stimolare oltre il 10% del mercato dei security services. Data center, governance, accessi e identità saranno i temi di maggior interesse. Ma non solo: ulteriori investimenti per oltre il 40% delle organizzazioni fino al 2020 saranno dedicati a gestione di privacy e rischio nell’ambito della trasformazione digitale.

Per noi di Seven IT la trasformazione digitale è un concetto tutt’altro che nuovo: di paradigmi SaaS, IOT e public cloud ci occupiamo già dal 2016. Anche in questo caso la tendenza a investire in nuove tecnologie non era sempre accompagnata da un corretto adeguamento dal punto di vista della sicurezza. 
Almeno in questo caso, possiamo dire che queste realtà innovative sono state molto più rapide a recepire il cambiamento e ad adeguarsi al GDPR.

 

Sempre sulla trasformazione digitale, si stima che entro il 2020 la metà dei software saranno forniti con servizi gestiti e in abbonamento.

Esatto. Lo stesso vale nello specifico con la Security as a Service, che costituirà il 50% del mercato a discapito delle installazioni on-premise. Per noi questa tendenza non fa altro che confermare ciò che da anni guida la nostra vision: acquistare un prodotto è ben diverso da acquistare un servizio. Il primo, implica un costo una tantum, è vero, ma poi quando si ha un problema? I costi aumentano, non possono essere previsti e magari il danno è già fatto. I managed service provider, invece, suddividono i costi in canoni fissi, comprensivi anche di hardware e sottoscrizioni, e forniscono un servizio qualificato e una consulenza che fanno davvero la differenza. Sapere già cosa si spenderà e che in caso di problemi ci sarà qualcuno pronto ad occuparsene, costituisce una sicurezza importante su più punti di vista, soprattutto nel contesto informatico, dove gli attacchi stanno crescendo. E poi, per fare un esempio pratico, i data center su public cloud e gestiti da un partner affidabile sono decisamente migliori delle “vecchie” soluzioni on-premise, che non si aggiornano in tempo reale e non sono necessariamente compliant con le normative.

 

Dunque, tornando alla sicurezza, questo +12, 4% dipende anche da una maggiore esposizione ai rischi?

Certamente. Infatti, rispetto allo scorso anno, è stato registrato un aumento del 31% degli episodi di attacco informatico grave. Le maggiori preoccupazioni sono destate dai ransomware, che in sostanza criptano o spostano i dati di un dispositivo in modo permanente, a meno di un pagamento in denaro. Neanche le grandi aziende sono al sicuro da questo rischio, perché l’attacco è rivolto al singolo, non al sistema in generale. In questo modo si mettono a repentaglio documenti e dati importanti, che potrebbero non essere mai più restituiti. In più, si aggiunge il danno economico. In questo caso, come sempre, un grande contributo lo può dare la cultura aziendale. Ecco perché c’è bisogno di corsi di formazione e policy sulla sicurezza per i dipendenti, insieme a strumenti adeguati e aggiornati.

Poi, è anche vero che non si riflette sulla quantità di dati che, banalmente, lasciamo in vista sulla scrivania tutti i giorni. In pochi ci pensano, ma questo ci mette a rischio di fronte a cyber criminali sempre più preparati e “sul campo”. Quindi, parere mio, anche una desk policy non farebbe male.