Un anno fa presentavamo la decisione di NetConsulting di condurre, su incarico di Ca, una ricerca sullo stato della sicurezza It in Italia come un’iniziativa che andava a coprire una seria lacuna informativa in un settore che è tra i motori della ripresa del mercato It nel nostro Paese. Ora, giunta alla sua seconda edizione, “La sicurezza informatica presso le aziende italiane” si riconferma come uno studio di grande importanza per la comprensione delle dinamiche del mercato della sicurezza in Italia, aggiungendo ai dati quantitativi rilevati da Idc e AITech-Assinform e alle analisi di tendenza elaborate da Gartner, un quadro dettagliato della situazione e degli sviluppi in atto presso le imprese utenti, con informazioni riguardo l’approccio dall’impresa al problema della sicurezza, gli strumenti adottati o previsti a breve e i progetti e investimenti attuali e pianificati in una strategia di più lungo termine in materia.
Diciamo subito però, prima di sintetizzare quanto emerso dalla nuova indagine, svolta nell’autunno 2007, che rispetto alla prima edizione (vedi ZeroUno n. 299 di Aprile 2007) il campione è stato ricalibrato dando un maggior peso alle aziende di grandi dimensioni, con le società oltre i 3 mila dipendenti passate dal 42 al 65%. Questa attenzione alla fascia enterprise dell’utenza ha comportato, come intuibile, una modifica anche della divisione per settori.
Il campione attuale presenta quindi un maggior peso dell’area Finance (salita dal 12 al 30%) e della Pubblica amministrazione, con la Pa centrale passata dall’8 al 17,5% e quella locale dal 10 al 15%. Un discreto peso (il 10%) ha assunto anche il settore Media-Tlc, che un anno fa era solo al 5,6%
Questi spostamenti del campione hanno notevolmente influito su quello che è il primo elemento rilevato, e cioè la presenza o meno in azienda di un’unità organizzativa dedicata alla sicurezza. Questa oggi compare nella quasi totalità delle imprese analizzate: il 93,8% (contro il 64% di un anno fa), con il 100% nei settori Finanze, Industria e Media-Tlc. L’unico settore che si discosta da questa situazione è quello del Retail-Gdo, dove un terzo delle società è del tutto priva di una struttura del genere e anche quelle che restano non dedicano alla sicurezza più di due persone, contro i 10 addetti del valore medio. Non è cresciuto invece in modo significativo l’impegno del top management al riguardo, che viene definito, ‘molto elevato’ e ‘mediamente elevato’ rispettivamente nel 28,9 e nel 60,5% dei casi. Rispetto ai valori di un anno fa (24 e 56%) si tratta di una crescita modesta, specie considerando la dimensione e complessità delle imprese del nuovo campione, anche se rappresenta pur sempre una percentuale rilevante in termini di attenzione al problema. I manager più attenti alla sicurezza sono quelli delle Tlc e dell’industria, mentre anche qui brilla in senso negativo il Retail, con un terzo di aziende i cui dirigenti sono disinteressati al problema. L’importanza dell’impegno del management riguardo la sicurezza è bene evidenziata dal livello di compliance delle imprese riguardo le normative che le riguardano (un valore introdotto in questa ricerca e che mancava un anno fa): come si vede dalla figura 1 un alto commitment porta ad una elevata compliance, e viceversa.
Figura 1: Il grado di commitment e il livello di Compliance nei settori (Fonte: NetConsulting)
(Clicca sull'immagine per ingrandirla)
UNA VISIONE MATURA, MA POCO APPLICATA
Come un anno fa, per valutare la qualità delle procedure di sicurezza aziendali viene considerata l’adozione o meno di quattro strumenti: una security policy formalizzata che stabilisca che fare in condizioni normali e di emergenza; un piano di sicurezza completo, relativo cioè agli aspetti fisici e logici della sicurezza; un business continuity plan, per garantire il mantenimento delle attività di business in ogni caso; un’analisi del ritorno degli investimenti in sicurezza, elemento la cui presenza dimostra una valutazione strategica del problema. A questo riguardo si rileva come oggi, rispetto a un anno fa, l’adozione di tutti gli strumenti elencati sia aumentata, lasciando però invariate, anche se più livellate, le differenze tra gli strumenti stessi. Infatti, come si vede dalla figura 2, oggi tutte le organizzazioni di tutti i settori (tranne la Pa centrale, un’eccezione che lascia perplessi sul valore della sicurezza presso i Ministeri ed i relativi ministri) hanno una security policy formalizzata; il tasso di adozione dei piani di sicurezza è molto elevato (il valore minimo, nel retail, è del 66,7%) e anche i business continuity plan si vanno diffondendo. Questi ultimi in particolare registrano il tasso di crescita medio più elevato, dal 55% di un anno fa al 68,4% odierno, con una diffusione del 91% nell’area Finance e del 100% nelle Tlc. Resta invece ancora molto scarsa (23,7%, meno addirittura del 28% di un anno fa) la diffusione di strumenti di analisi dei Roi. Ora, calcolare un Roi per la security non è facile, perché si tratta di investimenti il cui ritorno non è un guadagno ma una riduzione del rischio ed eventualmente delle perdite, ma restiamo dell’idea che la mancanza di queste analisi, di solito usate a supporto dei piani d’investimento, sia in qualche modo legata alla particolare visione che ha ancora il top management della security, considerata in chiave di costo, come una spesa che bisogna sostenere, magari perché imposta dalla legge, e non come un investimento in grado di dare un ritorno sul business.
(Clicca sull'immagine per ingrandirla)
Figura 2: Adozione di strumenti per la gestione delle procedure di sicurezza (Fonte: NetConsulting)
A commento di questi dati si può dire che, grazie anche alle esigenze di compliance (non a caso la normativa di riferimento più citata in ambito security è il Testo Unico sulla privacy), il problema della sicurezza sia certamente più avvertito che in passato e nelle imprese del campione venga in generale correttamente affrontato, con un approccio organico. Se però andiamo a guardare l’effettiva implementazione di soluzioni di sicurezza, c’è ancora molto da fare. Infatti, il confronto tra le figure 3 e 4 mostra come mentre le soluzioni di Threat Management, contro virus, intrusioni e altre minacce di fonte esterna, sono largamente adottate (anche il 29% degli antivirus per Pda è accettabile, visto che si tratta di dispositivi diffusi solo in alcuni settori), lo stesso non si può dire per le soluzioni di Identity & Access Management, che controllando l’accesso alle applicazioni aziendali sono quelle che ci proteggono dalle minacce di fonte interna, che come si sa, dolose o colpose che siano, sono le più pericolose. La crescita c’è, ma i sistemi realmente cresciuti (dal 69 all’82%, e dominanti nei settori della Pa, Retail e Industria), sono ancora quelli di directory, cioè userid e password, che sono oramai inadeguati.
Figura 3: Adozione di soluzioni di Threat Management (Fonte: NetConsulting)
Figura 4: Adozione di soluzioni per la gestione delle autenticazioni e degli accessi alle applicazioni aziendali (Fonte: NetConsulting)
(Clicca sulle immagini per ingrandirle)
L’adozione di veri sistemi di gestione e controllo dell’identità e degli accessi, per quanto in crescita e presente nell’82% dei progetti in ambito security previsti o in corso, allo stato attuale è ancora in generale inferiore al 50%. Scarso, a nostro parere, anche il 47% di adozione delle soluzioni di Web Access Management, presenti in modo significativo (oltre il 60%) solo nella Pa centrale (grazie alla Rete unificata e ai suoi sistemi di controllo) e, per ovvie ragioni di e-commerce e di online banking, nel retail e nella finanza. Come un anno fa, infine, restano davvero poco diffusi (in uso nel 26% dei casi e previsti nel 21%) i sistemi di monitoraggio e gestione degli eventi legati alla sicurezza, importanti per ridurre i danni dovuti ad attacchi e intrusioni in quanto permettono di mettere a punto efficaci politiche di prevenzione.
LA COMPLESSITÀ FRENA GLI INVESTIMENTI
L’ultimo aspetto esaminato dall’indagine sulla sicurezza in Italia riguarda gli investimenti. Secondo AITech-Assinform, il mercato della security, stimato nel 2007 pari a 596,6 milioni di euro, dovrebbe superare i 653 milioni nel 2008, con un tasso di crescita del 9,5%. Un po’ meno del 10,2% del 2007 (una contrazione, riteniamo, dovuta al completamento di molti progetti di compliance da parte delle banche, che da sole fanno quasi la metà del mercato) ma pur sempre decisamente interessante.
Figura 5: Fattori che frenano gli investimenti in ambito sicurezza – suddivisione per settori (Fonte: NetConsulting)
(Clicca sull'immagine per ingrandirla)
I progetti di security previsti e in atto vanno a colmare le mancanze di cui si è detto. Quindi sono focalizzati sull’Identity & Access Management (81,6% dei casi, con buona attenzione al Single Sign-on). Spinto dai progetti per la protezione dei network, resta alto il Threat Management, con il 60,5% dei casi (ovviamente la domanda prevede risposte multiple), mentre il Security Information Management, che un anno fa interessava solo il 28% delle imprese, compie un vero balzo in avanti passando al 50%. Anche se questa crescita è influenzata dagli interventi sul campione di cui si è detto, resta il fatto che l’attenzione al controllo centralizzato degli eventi e alle analisi di vulnerabilità sono indice d’una maggiore maturità d’approccio al problema.
Come si era già visto un anno fa, il vero motore degli investimenti in sicurezza è ancora la compliance, citata come fattore primario dal 79% degli intervistati. Cresce molto però la consapevolezza del rischio da parte del management, che dal 27% di un anno fa passa a quasi il 40%. Insomma: i top manager consci del problema crescono e il loro apporto è sempre più determinante. I fattori frenanti? Se un anno fa il problema era quello dei budget limitati, ora balza al primo posto la difficoltà nel mappare e rivedere i processi legati alla sicurezza, che nel 42,1% dei casi frena i progetti dell’It. Anche se si tratta di un fatto in sé negativo, c’è del buono in questo cambiamento, e cioè la presa di coscienza che la sicurezza non si risolve comprando un prodotto, ma affrontando il problema in ogni suo aspetto, a partire appunto dai processi aziendali, per trovare la soluzione che meglio si adatti ad ogni singola realtà.
Vai al Security Web Journal
