Otto trend chiave caratterizzeranno la cyber security nel prossimo futuro, e secondo gli analisti vanno già considerate nelle strategie a breve termine
Autore: Redazione ImpresaCity
È il grande problema dei CISO e dei loro team: devono assolutamente focalizzarsi su quello che sta succedendo ora per mettere davvero in sicurezza le loro imprese, ma dovrebbero anche guardare oltre per identificare le evoluzioni della cyber security che impatteranno maggiormente, nel prossimo futuro, sulle loro strategie di sicurezza. Trovare un equilibrio tra queste due esigenze non è affatto facile.
Gartner prova a dare una mano ai team sicurezza selezionando quelle che, secondo gli analisti, saranno le tendenze chiave della sicurezza IT dei prossimi anni, da qui al 2027. Cinque anni circa di evoluzioni di cui però bisogna tenere conto già a breve termine, ossia nel programmare la gestione della cyber security in questo biennio 2023-24.
Già a breve termine c'è da considerare, in particolare, l'impatto delle nuove normative sulla privacy dei dati. Gartner stima che entro la fine del 2024 queste leggi avranno coperto praticamente tutti i dati realtivi ai clienti e ai consumatori, ma solo il 10% delle aziende si è mosso per sfruttare la privacy come elemento competitivo. Serve quindi non solo mettersi in regola con le normative, ma soprattutto definire una strategia di data management che permetta sia di sfruttare le informazioni ove possibile, sia di conquistare la fiducia di clienti, partner, Authority governative.
Entro il 2025, spiega poi Gartner, si concretizzeranno altri due trend. Il primo è un declino del risk assessment tradizionale, che appare ancora troppo orientato al pubblico dei CISO e dei tecnici. La "cyber risk awareness" resta debole nelle aziende e non guida le decisioni del management, proprio perché questo ha bisogno di numeri e quantificazioni precise del rischio cyber, non analisi magari corrette ma troppo tecniche e poco persuasive.
L'altro trend evidente del 2025 sarà il burnout dei CISO. Entro la fine di quell'anno quasi la metà di quelli che Gartner chiama "cyber security leader" avranno cambiato lavoro. E un quarto avrà scelto ruoli che non c'entrano nulla con la cyber security. È il portato di anni di stress aggravati dalla pandemia e dallo skill shortage. Lo stress non si può eliminare, ammettono gli analisti, ma nelle aziende serve una cultura che supporti meglio le persone della cyber security.
Per il 2026 Gartner segnala tre tendenze chiave. Due sono tecnologiche: il 10% delle grandi aziende avrà in funzione un sistema Zero Trust "completo, maturo e misurabile" - mentre oggi la percentuale è inferiore all'1% - e ci sarà, parallelamente, una decisa crescita delle piattaforme TDIR (Threat Detection, Investigation and Response), in quanto nodo di integrazione di tutte le informazioni di visibilità e monitoraggio delle minacce e della superficie di attacco aziendale.
Un terzo trend è invece organizzativo e va in aiuto alla figura del CISO: entro il 2026 il 70% dei consigli di amministrazione includerà almeno una persona con competenze di cyber security. Per favorire questa evoluzione, i CISO già oggi dovrebbero promuovere gli aspetti e il valore della cyber security presso il board e creare relazioni strette con i loro membri.
Per il 2027 Gartner attira l'attenzione dei CISO su due temi che sono , in vario modo, collegati al rapporto tra cyber security e persone. Il primo trend è in parte noto: entro la fine del 2027, il 75% dei dipendenti "acquisterà, svilupperà o modificherà tecnologia" al di fuori del controllo del reparto IT. Nel 2022 questa percentuale era del 22%. In questo scenario il ruolo del CISO un po' cambia: è impossibile che controlli la sicurezza di tutti gli usi della tecnologia, deve piuttosto garantire che i colleghi abbiano tutte le informazioni necessarie per fare scelte consapevoli.
Anche da questo deriva un ultimo trend: entro il 2027 la metà dei CISO adotterà formalmente un approccio "human-centric" alla cyber security. Questo vuol dire che la sicurezza IT ruoterà intorno ai comportamenti delle persone e non a specifiche minacce o tecnologie. I CISO non possono impedire che i dipendenti adottino talvolta comportamenti rischiosi lato cyber, la sicurezza va costruita tenendo conto di questa possibilità, non cercando di eliminarla introducendo controlli e paletti che fanno percepire la cyber security come un freno.