Se il mercato dell’It nel suo complesso continua ad essere in difficoltà e nel 2003, secondo il Rapporto Assinform (vedi ZeroUno n.267) il volume d’affari generato in Italia dal settore dell’informatica ha subito un calo del 3,2% rispetto a quello dell’anno precedente, il settore della security fa eccezione. L’attenzione delle imprese per le tematiche correlate alla sicurezza è stata, anche se tra luci ed ombre, sicuramente molto forte, raggiungendo spesso, nella scala delle priorità dei responsabili Edp, il livello più elevato. Secondo Idc Italia, (www.idcitalia.com), che ha organizzato a Milano la terza edizione dell’It Security Conference, evento che può ormai essere considerato il più importante dedicato nel nostro Paese alla sicurezza, quest’attenzione dovrebbe continuare a manifestarsi con altrettanto vigore anche nei prossimi anni. Idc ritiene infatti che nel quinquennio 2002-2006 il tasso di crescita composto medio annuo del settore si manterrà sopra il 20% (distribuendosi in modo all’incirca equivalente tra hardware, software e servizi) mentre il relativo volume d’affari, alla fine del periodo, supererà i due miliardi di euro.
Le ragioni di questa crescita sono le più svariate, come ha fatto notare Ezio Viola, Group Vice President e General Manager di Idc Southern Europe, nell’intervento di apertura della conferenza. In sintesi queste sono: la continua espansione di Internet, la necessità di aprire i sistemi informativi al mondo esterno in un contesto di crescente collaborazione, gli sviluppi della connettività wireless, la crescita esponenziale degli attacchi informatici provenienti sia dall’esterno che dall’interno delle aziende, le vulnerabilità del software, la situazione socio-politico-economica che contribuisce a far crescere il livello generale di insicurezza, i rischi legati a fenomeni di difficile prevedibilità quali terremoti e blackout e, infine, la necessità da parte delle aziende di adeguarsi a nuove leggi e normative.
Necessità, quest’ultima, che in Italia si è concretizzata con l’entrata in vigore dal primo gennaio 2004 del cosiddetto Testo Unico sulla Privacy, derivante dal DL 196/2003, che contiene una serie di norme stringenti circa la tutela dal punto di vista informatico sia delle persone fisiche sia di quelle giuridiche, e che richiede, per essere attuato, la messa in opera, accanto alla necessaria strumentazione tecnica, anche di tutta un’indispensabile struttura organizzativa.
Le aziende italiane e la sicurezza
Sulla sicurezza Idc ha svolto inoltre una ricerca che ha coinvolto circa 350 aziende italiane con più di 20 dipendenti. “Un campione che pur non essendo rappresentativo del mercato nella sua totalità, – ha osservato Viola – ci ha comunque fornito interessanti indicazioni sul modo con cui le aziende italiane hanno investito in sicurezza nel 2003 e su quello che pensano di fare nel 2004 e ci ha anche permesso di capire non solo come gli investimenti si distribuiscono tra le diverse tecnologie disponibili, ma anche il modo con cui le aziende stanno affrontando i temi della sicurezza in termini organizzativi. Come cioè si stanno strutturando al loro interno in relazione al problema e quale importanza attribuiscono ai processi e alle ‘policy’ attinenti la security.”
In effetti, nonostante la crescita del livello di attenzione, dalla ricerca emerge come gli investimenti effettuati sul tema della sicurezza si ispirino ancora a un approccio sostanzialmente ‘basic’, che continua di fatto a privilegiare l’adozione di strumenti che permettono di affrontare singolarmente i diversi problemi. Antivirus, firewall e controllo degli accessi di tipo tradizionale vengono impiegati rispettivamente dall’87%, 76% e 63% delle aziende intervistate, che dichiarano inoltre di voler continuare a investire in queste aree in modo sostanzialmente simile anche nel 2004. Accanto a queste si stanno incominciando a prendere in considerazione anche tecnologie più sofisticate, come l’intrusion detection (la cui adozione dovrebbe passare dal 33% delle aziende nel 2003 al 49% nel 2004), la cifratura Ssl (dal 30% al 35%), e la firma digitale (dal 24% al 45%).
Manca ancora una visione d’insieme
Tuttavia, anche se oltre il 50% delle aziende del campione afferma di aver istituito delle ‘security policy’, e un ulteriore 15% si dichiara intenzionato a farlo entro il 2004, nella maggior parte dei casi non sono ancora stati sviluppati sistemi di prevenzione e di riduzione del rischio informatico che prendano in considerazione, in modo completo e integrato, tutte le effettive esigenze di sicurezza delle imprese. Sistemi che peraltro gli stessi responsabili It ritengono molto importanti per le loro aziende. “Tra le cause di questa situazione, – osserva Viola – vi è sicuramente una certa mancanza di attenzione da parte del top management. Inoltre, per attivare questi sistemi, è necessario fare ricorso a fornitori esterni di servizi di consulenza. Dall’indagine risulta che questo avviene soprattutto per i test di vulnerabilità, per i ‘managed security services’, il ‘disaster recovery’ e la ‘business continuity’. Le aziende inoltre spesso non hanno risorse specifiche da dedicare al tema della sicurezza, e siccome mancano le competenze interne, hanno grosse difficoltà nello sviluppare una visione completa su questi aspetti.”
Un ulteriore vincolo per la maggioranza delle imprese italiane è costituito dal fatto che i budget assegnati alla sicurezza sono ancora piuttosto limitati. Nel 2003 per il 61% circa degli intervistati sono stati inferiori al 10% del budget It complessivo (vedi figura 1),
Budget It dedicato alla sicurezza, confronto 2003-2004
Fonte: Idc
anche se, a conferma della progressiva crescita degli investimenti fatti dalle aziende nell’area della sicurezza, per il 2004 si prevedono incrementi che dovrebbero interessare tutte le diverse fasce di spesa.
A monte di questa situazione ci può essere il problema che, come osserva Viola: “Risulta tuttora molto difficile per i responsabili della sicurezza dimostrare il legame tra questi investimenti e i relativi ritorni”. Il fatto, ad esempio, che sistemi informativi più sicuri consentono non solo di fornire servizi di qualità più elevata, ma permettono di limitare le frodi e le perdite di dati sensibili, evitano danni reali sia economici che di immagine alle aziende, migliorano l’efficienza delle persone e rendono possibile conformarsi a leggi e regolamenti, anche se è oggettivamente vero, non è facile da tradurre in cifre. Siccome poi, oltre all’affidabilità, anche la facilità d’integrazione e d’utilizzo vengono indicate tra i requisiti principali delle offerte di soluzioni per la sicurezza dell’It, rispettivamente dall’80%, 67% e 56% del campione, appare evidente che le aziende saranno disposte ad adottarle solo quando queste saranno anche facilmente realizzabili e i relativi costi, sia di integrazione che di esercizio, verranno considerati sostenibili.
Chi gestisce la sicurezza?
La ricerca Idc ha affrontato anche alcuni aspetti riguardanti la gestione della sicurezza, un tema peraltro ancora abbastanza controverso. “In effetti – spiega Viola – nel 79% delle aziende intervistate a occuparsi di sicurezza sono le stesse persone a cui è affidata la responsabilità dei sistemi informativi, il che significa che queste attività vengono percepite come caratterizzate da elevati contenuti tecnici”. Solo nel 7% dei casi (vedi figura 2)
Come si gestisce la sicurezza nelle imprese
Fonte: Idc
la security è gestita da un gruppo di persone dedicate facenti capo a un Chief Security Officer (Cso), un manager che di solito risponde direttamente all’alta direzione e che, a dire il vero, è presente oggi solo nelle imprese di maggiori dimensioni. Nelle aziende più grandi ed organizzativamente più avanzate la struttura del Cso fa parte di una direzione che si occupa in modo specifico di Risk Management. Una scelta effettuata da un altro 7% del campione consiste invece nell’appaltare la gestione della sicurezza all’esterno, come servizio in outsourcing. Una opzione che per servizi specifici è stata adottata abbastanza frequentemente: le risposte mostrano infatti che quasi il 50% dei firewall e dei sistemi antivirus entro il 2004 sarà esternalizzato, mentre più basso è il ricorso all’outsourcing nel caso del Vpn (39%) e dell’intrusion detection (31%).
Nelle aziende che hanno sviluppato una maggiore sensibilità verso i problemi della sicurezza, si sta diffondendo un tipo di approccio non solo più strutturato, ma anche più pianificato, che cerca di identificare, indipendentemente dalle tecnologie che potranno poi essere adottate, se esistono e quali sono le priorità in termini di sicurezza da tenere presenti. Quali cioè sono i dati, i processi, le attività che essendo ‘critiche’ devono essere gestite con maggiore attenzione, e quali sono quelle dove non vale invece la pena di investire più di tanto. Là dove è stato adottato questo approccio più ragionato, accade che le risorse classificate come critiche vengano sottoposte a particolari vincoli di sicurezza.
“Mentre la stragrande maggioranza del campione – conclude Viola – dichiara di effettuare attività di back-up sia direttamente al proprio interno sia utilizzando strutture esterne, un comportamento questo sicuramente incentivato dalle normative esistenti che costringono le imprese all’adozione di certe misure, assolutamente inadeguata è invece la sensibilizzazione delle aziende intervistate riguardo le problematiche del ‘disaster recovery’ e della ‘business continuity’. Molto limitata è infatti non solo l’attuale ma anche la futura previsione di utilizzo di procedure di ‘disaster recovery’ (dal 16% nel 2003 al 29% nel 2004) e di ‘business continuity’ (dal 6% al 13%). E qui ci si potrebbe chiedere se una situazione del genere non dipenda anche in parte dall’offerta.”
