Investire in sicurezza è strategico per un’impresa, nonostante la crisi: anche se le aziende hanno diminuito i propri investimenti in ambito Ict, il budget destinato alla sicurezza è sostanzialmente in linea con quello degli anni passati. Questo avviene perché le imprese hanno capito che la sicurezza è un fattore abilitante per il proprio business e hanno compreso che non si può ragionare solo in termini di Erp, Crm, Plm, Scm, Business Intelligence e investire in sicurezza senza un approccio strategico. Sono evolute le tecnologie, si sta diffondendo sempre più la virtualizzazione, è cambiato il modo di rapportarsi con fornitori, partner e clienti, sono aumentati i rischi e le minacce. E in questo scenario, la sicurezza è sempre più percepita dagli utenti come un elemento importante, con un ruolo sempre più esteso all’interno dell’Ict. Sul fronte dell’offerta di soluzioni Ict, la sicurezza deve diventare sempre più parte integrante dei prodotti e dei servizi proposti.
Sono questi alcuni concetti evidenziati nel corso della Security Conference 2009, oganizzata da Idc, e nel Security Summit organizzato da Clusit ed Edipi Conference.
“Nonostante il contesto economico difficile le esigenze delle aziende, oggi, sono le stesse di alcuni anni fa”, ha spiegato Antonio Romano (nella foto), country manager Idc Italia & Iberia. “Anche oggi i Cio vogliono aumentare la produttività, migliorare il customer care, innovare dal punto di vista dei prodotti e dei servizi… Ai responsabili dei sistemi informativi è richiesto di accelerare i processi, migliorare l’accesso alle informazioni, concretizzare più idee innovative in ambito Ict”. Rispetto al passato, però, sono cambiate le esigenze di sicurezza. “Oggi – ha detto Romano – la sicurezza in un’azienda gioca un ruolo chiave come le tecnologie di Crm o di Business Intelligence”.
Un tempo nelle aziende si parlava di sicurezza quando era necessario proteggersi dalle minacce esterne più pericolose. Da questa concezione di sicurezza, definita da Idc ‘Security 1.0’, si è passati oggi a una ‘Security 2.0’, volta a proteggere totalmente le attività di business di un’azienda, in un’ottica di disaster recovery e business continuity, anche in ambienti virtualizzati. Il passaggio alla Security 2.0 è legato a un vero e proprio cambio di paradigma in ambito Ict: “In passato le aziende si avvalevano solo di dati strutturati. Oggi oltre l’80% dei dati di un’azienda sono non strutturati. Sms, Instant Messaging, Chat sono sempre più usati nelle imprese, per questo è importante poterli gestire”, ha dichiarato Romano.
Anche la virtualizzazione sta cambiando il paradigma It. Secondo Idc, nel 2011 il 100% dei server acquistati dalle grandi imprese e il 77% di quelli acquistati dalle Pmi sarà virtuale. Anche in questo caso non potrà essere dimenticato il problema della sicurezza; dovranno essere disponibili soluzioni di security adatte alle imprese interessate alla virtualizzazione.
Sempre più diffuse ed evolute sono le tecnologie Wireless. Oltre alle interazioni tra individuo e macchina sono sempre più frequenti le interazioni machine–to-machine, come avviene nelle attività di pagamento realizzate tramite apparecchiature mobile. Anche di questo aspetto bisogna tener conto, in rapporto alla sicurezza.
“Oggi la filiera dell’offerta si è spostata dal paradigma prodotto – soluzione a quello servizio – soluzione”, ha aggiunto Romano. “La privacy e la protezione dell’utente devono diventare requisiti di prodotto”.
Il mercato europeo della sicurezza secondo Idc
Secondo Idc, il mercato europeo della sicurezza ha un valore di 10,7 miliardi di euro (dati 2007) ed è il secondo mercato a livello mondiale dopo quello statunitense (un mercato, quest’ultimo, da 13,5 miliardi di euro). Uno studio realizzato per la Comunità Europea da Idc Government Insight, che ha coinvolto utenti business e consumer, security vendor e opinion leader in materia di sicurezza di diversi Paesi d’Europa, ha rivelato che la sicurezza è richiesta sia in ambito Consumer/Soho, sia dalle Pmi sia dalle grandi aziende. All’interno di un’offerta che comprende soluzioni hardware, software e servizi, la quota maggiore delle vendite avviene in quest’ultimo ambito, mentre le vendite più basse sono nell’area hardware.
“La ricerca conferma che investire in sicurezza è importante per le aziende; anche nel 2008 la crescita è stata dinamica e questo dinamismo potrà continuare con l’inizio della ripresa”, ha detto Gabriella Cattaneo (nella foto), research director Competitiveness and Innovation Idc Government Insight Emea.
Figura 1: Il posizionamento dei Paesi europei nelle strategie di sicurezza
(cliccare sull’immagine per ingrandirla)
In base allo studio, il mercato europeo è suddividibile in 4 gruppi di nazioni, in rapporto al grado di maturità in ambito sicurezza (vedi figura 1): The champions, dalla maturità più elevata; The pillars, che investono notevolmente in sicurezza anche se sono in seconda posizione rispetto alle nazioni del precedente gruppo; The runners up, che sono in evoluzione ma in cui l’Ict è presente in modo meno pervasivo rispetto ai precedenti Paesi e The learners, che sono in fase di apprendimento ma contano ancora poco nel mercato della sicurezza. L’Italia è tra i Paesi che rientrano nel terzo gruppo, quello in cui la sicurezza Ict è ancora in evoluzione; questo risultato è determinato dalla forte presenza di Pmi, che non investono quanto le grandi aziende. Per la ricerca, potrebbero essere gli ultimi due gruppi a rivelare sorprese; già oggi i Paesi inseriti in queste due aree stanno investendo maggiormente in sicurezza rispetto a quelli dei primi due cluster e potrebbero ridurre il gap esistente con i primi due gruppi già nei prossimi anni.
L’indagine, confermando una realtà già evidenziata in altre analisi, rileva comunque che il livello di protezione della propria azienda percepito non coincide con una sicurezza effettiva e che le aziende sono molto meno sicure di quanto pensino. Il mercato della sicurezza è trainato dallo sviluppo di Internet e della Banda Larga (vettori di virus, intruzioni ecc.), dalla crescita dell’importanza del networking, dall’esigenza di essere compliance rispetto alle normative, dalla crescita delle innovazioni tecnologiche e dall’aumento dell’inventiva di hacker e criminali.
Ma perché un’azienda sia vincente sul versante della sicurezza, non solo deve investire in tecnologie: deve anche investire nella formazione dei propri dipendenti in ambito security. Ci troviamo invece oggi in una situazione in cui la riduzione del budget It ha portato le imprese a ridurre gli investimenti in ambito formazione; gli utenti, di conseguenza, non sono adeguatamente formati in tema sicurezza mentre sarebbe fondamentale che lo fossero.
Dal punto di vista dei fornitori, la ricerca ha rivelato che sono 5 i top vendor nel mercato della sicurezza: Symantec, Ibm, McAfee, Cisco e Trend Micro. In particolare, Symantec è l’attore dominante per il segmento software, Ibm per i security services e Cisco per l’hardware security. Anche nei Paesi dell’Est ci sono realtà specializzate in ambito sicurezza che stanno acquisendo quote di mercato, come Kaspersky.
Investire in security in tempi di crisi
Mauro Orlando (nella foto), associate director, Gartner Consulting nel corso di un convegno organizzato durante il Security Summit ha sottolineato che, se anche in tempi di tagli di budget, la spese in ambito sicurezza restano in linea con gli scorsi anni, cambia, invece, la distribuzione della spesa: diminuiscono gli investimenti in ambito hardware e personale, mentre aumentano quelli in area software e consulenza. La tendenza, quindi, è quella di investire di meno in attività interne e ad esternalizzare.
“In tempi di crisi è necessario investire bene; nei momenti di difficoltà dovuti a budget tagliati o ritardo nella loro approvazione possono essere messe in campo alcune azioni tattiche”, ha spiegato Orlando. “Una di queste è rappresentata dal mantenimento della protezione di base. È necessario individuare cosa non è evitabile o riducibile: elementi come la manutenzione dei firewall, la sicurezza e-mail, la gestione delle vulnerabilità, l’aggiornamento prodotti anti-malware sono fondamentali. Se bisogna scendere a compromessi bisogna individuare quali sono gli elementi più strategici su cui contare, considerando gli aspetti legali, contrattuali ed etici. È necessario spiegare bene in azienda le condizioni di rischio legate alle diverse opzioni e richiedere una specifica accettazione del nuovo profilo di rischio derivante dalle scelte di riduzione della spesa”.
Di fronte a un rischio grave è importante agire in modo efficace; la collaborazione tra It Security e It Operations è fondamentale. La protezione del dato deve essere gestita in modo intelligente, lungo tutta l’intera catena; devono esistere regole chiare, per esempio per consentire a una categoria di persone di accedere a una certa categoria di dati e non ad altri.
Nonostante le riduzioni di budget, bisogna costruire un programma di sicurezza che non si concentri su elementi parziali, ma che valuti tutti gli aspetti coinvolti e che consenta di intervenire in modo coordinato. Secondo Orlando non esiste un mezzo unico accettabile per risolvere adeguatamente il problema della sicurezza. Gartner propone un approccio olistico alla sicurezza che prende in considerazione informazioni, applicazioni, processi e infrastrutture. Per affrontare adeguatamente il problema della sicurezza bisogna investire in tecnologia, ma anche elaborare una strategia, definire gli aspetti di governance, creare maggiore consapevolezza e cultura sulle tematiche di security, realizzare attività di monitoraggio e di controllo. “È importante misurare il rischio associato a ogni euro tagliato dal budget di sicurezza”, ha dichiarato Orlando. “Bisogna valutare tutte le azioni all’interno di un programma complessivo, far evolvere il modello introdotto, controllando il mantenimento degli obiettivi irrinunciabili”. E per il futuro ? “In futuro saranno sempre più frequenti transazioni con diversi attori e maggiori personalizzazioni nell’interazione. Per superare bene la crisi è necessario saper collaborare meglio con fornitori, rivenditori e clienti e saper prendere decisioni vincenti per tutti gli attori”, ha concluso Orlando.