Nonostante le violazioni alla sicurezza delle reti stiano colpendo imprese
di grande rilievo, la percezione dei responsabili aziendali che si occupano di questi temi resta la stessa: la sicurezza IT
interessa poco al board. Questa visione è confermata anche dall'edizione 2017 del
Global Enterprise Security Survey di Fortinet, che ha coinvolto oltre mille decisori aziendali in tutto il mondo, di cui un centinaio in Italia.
La maggioranza (81 percento) delle imprese italiane ha subito una "falla" negli ultimi due anni. A colpire sono stati soprattutto
malware, ransomware e social engineering. La quota di furti di dati è bassa, ma probabilmente - commenta
Filippo Monticelli, Regional Manager Italy di Fortinet - perché non è ancora obbligatorio comunicarli e perché le aziende italiane hanno una minore capacità di individuare realmente i furti quando sono "nascosti" da infezioni e attacchi DDoS.
L'aumento degli attacchi ha portato investimenti in sicurezza: il 64 percento delle aziende italiane ha
aumentato il budget in questo senso. Ma le quote restano relativamente basse e oltre la metà delle imprese non vi dedica più del 15 percento del budget IT. Le aree di investimento chiave del 2017 sono state l’aggiornamento dei sistemi di sicurezza esistenti e l’implementazione di
processi e policy di IT security. "
Nel complesso siamo in linea con l’andamento della spesa globale, resta un ritardo di 6-12 mesi nell’adozione di soluzioni innovative rispetto alle nazioni più evolute", spiega Monticelli.
Filippo Monticelli, Regional Manager Italy di FortinetLa questione "macro" è il poco coinvolgimento del board. Il 44 percento del campione italiano indica che
non vede un adeguato livello di attenzione della dirigenza alla IT security e, quando c'è, l'approccio è reattivo, a seguito di incidenti e alla ricerca delle
responsabilità. Che vanno soprattutto al dipartimento IT "
quando sappiamo benissimo che i breach molto spesso sono legati a errori commessi da persone che non rientrano nell'IT", commenta Monticelli.
Il lato positivo è che diversi fattori stanno incrementando l'attenzione del board verso la sicurezza: la paura o l'esperienza diretta di un attacco, il ricambio generazionale del management e lo sviluppo di nuove normative. Ma è soprattutto la
transizione al cloud che porta il board a considerare i temi della security, perché la transizione in sé coinvolge direttamente la dirigenza. L'86 percento del campione italiani indica che gli investimenti in sicurezza a supporto del passaggio al cloud sono una priorità del board.
Per il prossimo futuro i responsabili aziendali della sicurezza hanno in mente alcuni
punti critici su cui c'è evidentemente da lavorare. Quello in prima fila non è tecnologico ma è la necessità di diffondere in azienda
conoscenza sui temi della sicurezza e sulle possibili minacce, proprio per evitarle. Questo significa investire in formazione e training, far capire meglio ai dipendenti le policy che l'azienda segue e anche pensare alla formazione del board.
Tra gli aspetti più tecnologici si nota la tendenza (espressa dal 41 percento del campione italiano) a
ridurre il numero di soluzioni installate di produttori diversi, in modo da arrivare a una infrastruttura di sicurezza più integrata e quindi più performante. Il tema delle
prestazioni è importante e il 39 percento del campione indica che non trova una soluzione adatta all'aumento del traffico dati che va gestito in azienda.