Sicurezza informatica aziendale in Italia? Le ricerche sulle aziende di grandi dimensioni, operanti nel pubbliche e nel privato, confermano come la percezione del rischio sia molto acuta rispetto alle priorità e alle strategie atte a tutelare dati, applicazioni, reti e sistemi.
La questione è che oggi la maggior parte dei processi è digitale o in qualche modo passa dalle tecnologie digitali. Gli utenti sono tutti connessi, che agiscano in modalità privata o in modalità pubblica, e garantire la business continuity non è e non può essere considerato soltanto un servizio assegnato al team IT. Ecco spiegato il valore di uno studio che ha coinvolto nelle risposte sia i CIO che i CFO sui temi cardine della sicurezza nel nostro Paese.
Le aziende stanno cambiando passo
Scelte e orientamenti sono illustrati con l’ausilio di diverse infografiche, in una survey esclusiva, condotta da NetworkDigital4, in collaborazione con RSA, su un campione di 500 grandi aziende dai 500 addetti in su, di tutta Italia. La configurazione del panel ha coinvolto 300 imprese della PA Centrale e 200 della Large Enterprise operanti in tutti i settori (Commercio al dettaglio, Gdo, Agricoltura, Automotive, Edilizia, Logistica e Trasporti, Finanza e Assicurazioni, Manifatturiero, Chimico e Farmaceutico, Utility).
A rispondere alle domande per la PA i CIO e i responsabili IT mentre per la Large Enterprise i CIO (50% del panel) e i CFO (50% del panel), il che ha consentito di mappare analogie e differenze rispetto al tema della sicurezza rispetto a due figure chiave del processo decisionale aziendale. Lo studio mette a confronto anche le priorità di investimento rispetto ai due panel intervistati: dalle risposte si evincono alcune analogie e alcune differenze sostanziali rispetto alla percezione dei rischi e delle strategie di riferimento per tutelare l’azienda dal cybercrime.
La sofisticazione delle minacce, la complessità dei sistemi e delle infrastrutture che, tra mobility, cloud e virtualizzazione, hanno rese le aziende sempre più liquide, le normative volte a tutelare l’integrità e la sicurezza dei dati personali impongono livelli di specializzazione tali da obbligare le aziende a fare ricorso a partner esterni.
La sicurezza è gestita utilizzando risorse interne dal 60% delle grandi aziende e dal 67% delle PA. Il ricorso a risorse esterne è una modalità perseguita da 2 aziende su 5 della Large Enterprise e 1 azienda su 3 della PA. Per che cosa sono coinvolti i partner della sicurezza? Il 40% delle grandi aziende e il 66% della PA si affidano a partner esterni per gli aspetti tecnici, il 14% dell’Enterprise e il 5% della PA per gli aspetti Legal mentre il 46% delle imprese e il 29% della PA si avvalgono di terze parti per entrambi gli ambiti, tecnico e legal.
Una fotografia italiana della sicurezza informatica aziendale
Proteggere le aziende, le persone e le informazioni è parte integrante di una strategia in cui convergono sistemi di videosorveglianza, telecontrollo, antintrusione, antieffrazione e di protezione da tutte le derive del cybercrime che colpisce gli utenti in azienda oppure in mobilità, a casa come in automobile, in treno o a piedi.
Al primo posto degli investimenti per la grande azienda troviamo così le soluzioni legate ai temi della Governance, Risk & Compliance (63%), mentre per la PA in testa ci sono le Security Analytics (70%).
L’importanza del monitoraggio delle reti risulta al secondo posto per le grandi aziende e per la PA centrale con la stessa percentuale di risposte (60%). I dati relativi alla gestione delle identità vanno interpretati alla luce del fatto che tutte le imprese hanno risolto la governance intraprendendo a tempo debito investimenti consistenti in questo senso.
A partire dai numeri emersi, la chiave di lettura va compresa all’interno di una cornice di contesto più ampia che, a seconda dell’area di business, rispecchia sia gli investimenti pregressi effettuati dalle imprese in funzione di adempimenti a normative promulgate con una calendarizzazione diversa dal legislatore rispetto a chi opera nel pubblico e nel privato.
È questo a portare le aziende ad avere per il 2016 esigenze diverse. Un altro aspetto interessante dell’analisi, infatti, è che le risposte mettono in luce il livello di maturità dei CFO rispetto al tema della sicurezza.
Risk management: la percezione delle gerarchie è molto chiara
Rispetto al campione di Grandi Aziende intervistate, un aspetto rilevante che emerge dalla survey è che, messi a confronto, CIO e CFO hanno la stessa gerarchia di priorità, con percentuali di risposta quasi identiche per le prime tre categorie: al primo posto il tema della Governance, Risk & Compliance (GRC) con il 64% e il 63% delle valutazioni, al secondo posto il tema del monitoraggio delle reti con il 60% di valutazioni da parte di entrambe le figure intervistate e, al terzo posto le Security Analytics (CIO 40% e CFO 58%).
Dal punto di vista della governance della sicurezza, con il 96% di risposte affermative, i CIO delle grandi aziende sono molto soddisfatti della soluzione SIEM (Security Information and Event Management) utilizzata.
In dettaglio, a supporto dell’Identity Management è l’80% delle aziende ad avere una soluzione dedicata ma la mappatura evidenzia approcci diversi, da azienda ad azienda: il 97% ha una gestione interna, il 30% si affida al cloud, l’11% ha una gestione ibrida e il 18% si affida a un provider esterno.
La ripartizione delle altre soluzioni in house a supporto della sicurezza raccontano le seguenti percentuali: network monitoring (85%), monitoraggio dei dispositivi fissi e mobili (76%) log monitoring (73%), GRC 72%.
Un aspetto importante messo in luce dai ricercatori è come la metà del panel già faccia uso dei Big Data a supporto della sicurezza: in dettaglio, ne fa uso il 44% delle aziende intervistate mentre il 3% è in fase di valutazione.
Ogni quanto viene aggiornata la sicurezza? Il 64% della Large Enterprise fa aggiornamenti una volta l’anno.
Le vision (e i pensieri) della PA centrale
I dati della ricerca offrono un quadro importante anche rispetto al livello di maturità della Pubblica Amministrazione centrale italiana rispetto ai temi cardine della sicurezza.
A fronte del fatto che solo un’azienda su cinque del panel intervistato sta considerando di utilizzare i Big Data a supporto delle strategie di Security, il 24% conosce il valore delle tecnologie software ed è interessato a valutare soluzioni avanzate che consentono in tempo reale di identificare le minacce.
Tra i dati emersi dall’indagine gli analisti evidenziano come solo il 15% delle aziende intervistate utilizza i Big Data a supporto della sicurezza mentre il 7% ci sta pensando.
Ma l’importanza dell’innovazione a supporto della sicurezza è arrivata: il 24% della PA Centrale conferma di essere interessato a tecnologie avanzate che consentano di identificare possibili minacce in tempo reale.
