Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Sicurezza It: un problema sentito, ma non abbastanza

pittogramma Zerouno

Sicurezza It: un problema sentito, ma non abbastanza

02 Giu 2005

di Gianni Rusconi

La priorità numero uno per Cio e responsabili It, oltre a quella di difendere dati e sistemi da attacchi di diverso tipo, è in molti casi trovare ancora un punto di equilibrio vantaggioso fra l’effettiva percezione della problematica e i budget di spesa a disposizione per realizzare policy di security adeguate e allineate con il resto delle attività aziendali

Un dato che ricorre fra gli analisti attesta per il mercato della sicurezza informatica un giro d’affari mondiale, entro il 2007, di oltre 30 miliardi di dollari. Una cifra doppia rispetto ai fatturati oggi generati dalle vendite di apparati, soluzioni e servizi per l’It security e che pone l’accento su una tendenza sempre più incalzante: tutti i vendor, specialisti in materia o colossi che in questo segmento hanno visto un’opportunità di diversificazione (in ambito applicativo o a livello di rete) strategica, sono impegnati a costruire un’offerta di soluzioni “all in one” per soddisfare due ordini di esigenze: far convergere la domanda dei clienti e impattare i costi di integrazione nei confronti di prodotti concorrenti. Dall’altra parte della barricata, intanto, quella delle aziende, la priorità numero uno per Cio e responsabili It, oltre a quella di difendere dati e sistemi da attacchi di diverso tipo, è in molti casi trovare ancora un punto di equilibrio vantaggioso fra l’effettiva percezione della problematica e i budget di spesa a disposizione per realizzare policy di security adeguate e allineate con il resto delle attività aziendali.

Virus & C: il rischio di sentirsi sicuri
La pressione esercitata dagli oltre 100.000 virus informatici oggi censiti (il numero comprende worm, Trojan e altre forme di codici maligni noti e sconosciuti) e da minacce di pericolosità media o superiore che crescono del 100% anno su anno è un fattore realmente destabilizzante per molte aziende? Stando a quanto rilevato da uno studio compiuto a livello europeo da McAfee, le medie e piccole imprese sono coscienti di tale problema in virtù delle ingenti perdite subite: in Italia il 30% delle Pmi ha dovuto cessare momentaneamente l’attività in seguito ad attacchi informatici e su scala europea ogni offensiva virale è costata alle singole aziende, nel 2004, circa 5.000 euro. Parallelamente, però, non sono molte le realtà che hanno intenzione di sviluppare una strategia di sicurezza nel prossimo futuro e, nel caso dell’Italia, solo il 66% delle Pmi si proteggerà in modo attivo, mentre il 10% circa conferma come questa non sia una problematica prioritaria per la propria azienda.
Un’altra indagine in tema, commissionata da Websense alla società di ricerche di mercato indipendente Dynamic Markets, ha invece messo in evidenza come tra i responsabili della sicurezza It sia crescente lo “stress da attacchi” e come, per contro, le contromisure per proteggersi dalle nuove minacce via Internet siano, soprattutto in Italia, ancora insufficienti. Il 47% delle aziende, infatti, è stato colpito da attacchi di un qualche tipo eppure in oltre la metà dei casi i responsabili It credono di essere al sicuro e limitano ai minimi termini (siamo la maglia nera in Europa) la presenza di soluzioni dedicate in aggiunta a firewall e antivirus. Il messaggio che hanno trasferito in coro i circa 500 responsabili della sicurezza in aziende di medio-grandi dimensioni (100 italiane) interpellati è suonato in definitiva su queste corde: oggi persiste un falso senso di sicurezza, smascherato nei fatti dall’elevato livello di stress che i responsabili It hanno manifestato in relazione alle loro responsabilità e dalla portata delle tecnologie di protezione implementate. Globalmente, infatti, il 91% degli intervistati confida, superficialmente, di essersi dotato di un efficace sistema di protezione ma in realtà il 60% del campione non ha alcuna difesa contro gli attacchi di hacking provenienti dall’interno, il 62% non è in grado di bloccare il phishing, il 56% non sa impedire l’uso di applicazioni P2P illegali e il 35% non è in grado di evitare lo spyware e relativi rischi connessi circa l’integrità delle informazioni riservate.

Parola ai fornitori
La percezione della problematica sicurezza trova quindi scarsa rispondenza e correlazione nel livello di investimenti effettuati dalle aziende? Per saperne di più ZeroUno ha rivolto una precisa domanda “la security è una voce prioritaria nel budget di spesa It?” a diversi fornitori, confezionando con loro una “tavola rotonda virtuale” sul tema in questione.

Lucilla Mancini, Security Country Practice Manager di Getronics ci ha spiegato come “nonostante la crisi del mercato italiano dell’It degli ultimi anni, la spesa per la sicurezza non ha mai subito grandi flessioni ma al contrario la percentuale di budget destinata a progetti dedicati è in costante aumento in relazione al continuo mutamento degli scenari mondiali”.

Francesco Orrù, responsabile programma sicurezza di Microsoft Italia, ha citato una ricerca di Gartner sulle priorità espresse dai Cio delle aziende per sottolineare invece come “la voce di spesa per la sicurezza nel budget è al terzo posto mentre dovrebbe essere sempre al primo, nonostante ci si trovi in un periodo in cui le aziende sono attente a contenere i propri costi. Mantenere i sistemi It aggiornati e sicuri è un investimento che garantisce dei ritorni su diversi fronti che spesso non viene considerato, basti pensare ai costi di ripristino e recupero dei dati sostenuti in seguito al fermo dei sistemi oppure ai danni legati alla perdita di immagine e credibilità nel caso di furto di informazioni sensibili”.

Per Luca Maiocchi, Enterprise Network Consultant di 3Com Italia, “il budget di spesa per la sicurezza, intesa nell’accezione più ampia del termine, è quasi sempre una voce distinta dagli investimenti Ict generali. Chi propone sistemi di sicurezza validi, specialmente all’interno delle organizzazioni medie e grandi, trova quindi una capacità di investimento superiore rispetto ad altri capitoli di spesa, come per esempio l’infrastruttura Lan. Le grandi aziende, va rimarcato, hanno le capacità e le risorse per affrontare in modo strutturato un approccio sistematico alla sicurezza, che comprenda una completa analisi dei processi e delle procedure aziendali per arrivare ad un progetto integrato che contenga nuovi investimenti hardware e software e, soprattutto, una nuova consapevolezza aziendale nell’affrontare questo delicato tema. La medesima attenzione non è riscontrabile nella piccola azienda, dove le risorse economiche e professionali sono spesso insufficienti: è quindi importante sottolineare come l’introduzione di nuovi approcci di tipo reattivo e facilmente integrabili nell’infrastruttura di rete potranno aiutare anche le Pmi a raggiungere un grado di protezione soddisfacente e con investimenti accettabili”.
Il contributo di

Giulio Barki, Senior territory manager corporate & government di Juniper Networks, vede la sicurezza It in cima alle priorità dei Cio rispetto a queste linee guida: “La crescente richiesta di banda e l’aumento del traffico impongono agli apparati che devono proteggere le reti di adattarsi alle nuove esigenze. Per questo, il mercato dei firewall continua ad espandersi e siamo da tempo passati dalla fase della domanda di base a quella della specializzazione. Anche le reti private virtuali si stanno raffinando e il fenomeno più ricorrente al quale assistiamo è infatti la richiesta dell’accesso alla rete aziendale a utenti mobili e a entità esterne all’azienda, con l’obiettivo di creare il modello dell’impresa estesa”.

L’antivirus non basta più: serve un approccio esteso

Francesca Giudice Vice President & Managing Director Southern Emea di Symantec, ha voluto considerare il rapporto oggetto dell’inchiesta di ZeroUno entrando nel merito di un aspetto assai importante riguardante la spesa It delle aziende, e cioè la convergenza delle soluzioni di security a supporto della strategia di business aziendale, in grandi come in piccole e medie organizzazioni. “Il problema della sicurezza informatica e la necessità di proteggere le reti dalle minacce di Internet è quanto mai attuale per tutte le aziende. Ed è un fenomeno che sta diventando particolarmente rilevante anche per le piccole imprese, che spesso non dispongono di una figura professionale specifica per la gestione dell’It, ma sono comunque vittime di attacchi sempre più mirati. Le dinamiche della domanda delle Pmi – ha confermato Giudice – presuppongono dal lato offerta strumenti capaci di offrire una protezione completa, che siano al tempo stesso facili da gestire e che non richiedano un impegno troppo oneroso in termini di budget. Una solida cultura sulla sicurezza è quindi il requisito base per sviluppare progetti adeguati, e questo vale per tutte le tipologie d’impresa perché assicurare l’integrità delle proprie informazioni permette al business di crescere qualunque cosa accada”.
Sul differente livello di sensibilità al tema della secuirty It si è espresso anche

Sergio Vantusso, direttore marketing Emea di McAfee, un altro nome d’eccellenza nel panorama dell’offerta dei sistemi di prevenzione. “Se molte sono le aziende che stanno attuando una policy di sicurezza, o che ne possiedono una, la necessità più sentita è quella della gestione: da questo presupposto la necessità di integrazione e collaborazione con le terze parti si fa sempre più stringente se si vuole raggiungere l’obiettivo di offrire soluzioni realmente in grado di proteggere il business di una azienda. La sicurezza informatica si conferma tema di discussione ai più alti livelli aziendali e c’è maggiore consapevolezza nel richiedere soluzioni al fornitore, anche se il budget deve trovare delle valide giustificazioni per essere allocato. A causa della gran quantità di rischi quotidiani, l’attenzione dedicata al problema si è particolarmente accentuata, ma con delle sostanziali differenze tra piccole, medie e grandi imprese. È finita l’epoca delle sperimentazioni e l’obiettivo cui tendere è quello delle soluzioni “best of breed”, all’insegna di concretezza e completezza”.


Il problema visto dai big del networking

Roberto Mircoli, Business Development Manager Security & Wireless Networking in Cisco Systems Italy, ha centrato con la propria analisi vari aspetti del tema oggetto del dibattito proposto da ZeroUno. “Se fino all’anno scorso esisteva il problema di un generale scarso investimento in sicurezza It, anche legato ad allocazioni ancora occasionali di budget dedicati, il 2004 è stato l’anno in cui le aziende di qualsiasi settore e dimensione hanno progressivamente preso consapevolezza del fatto che un approccio reattivo agli eventi non era assolutamente più adeguato. Le stesse aziende hanno affrontato quindi investimenti con un atteggiamento più maturo che si può sicuramente ascrivere all’importante dibattito cui abbiamo assistito negli ultimi anni. Angolature particolari riguardano ad esempio le competenze di sicurezza richieste e i prerequisiti indispensabili per ogni nuova infrastruttura di rete, di storage e di connettività: nessuno investe più tralasciando tali aspetti e questa è senz’altro una novità rispetto al passato. Stiamo assistendo ad investimenti ponderati in nuove tecnologie cui corrispondono “issue” di sicurezza e all’atteggiamento più maturo da parte degli utenti fa eco la predisposizione verso un’offerta orientata a soluzioni complete, integrate e multilivello da parte dei fornitori”.

Dario Zerbi, Distribution Manager Enterprise di Nortel per l’Italia, ha una sua ricetta per illustrare il presunto disallineamento fra percezione del problema ed effettivi investimenti dedicati. “Dimensioni dell’azienda, mercato di riferimento e fattori geografici cambiano sostanzialmente il livello delle esigenze in materia di sicurezza: registriamo in generale un atteggiamento sistemico verso l’infrastruttura It e per la voce security è indubbio che i budget aziendali abbiano avuto degli incrementi. Le complessità di gestione del business, la necessità di competenze adeguate e un’integrazione non sempre facilmente raggiungibile sono però ancora oggi ostacoli non indifferenti alla definizione di policy di sicurezza realmente pervasive”.

Gianni Rusconi

Articolo 1 di 5