Nonostante le violazioni alla sicurezza delle reti stiano colpendo imprese grandi e meno grandi, la percezione dei responsabili aziendali che si occupano di questi temi resta la stessa: la sicurezza IT interessa poco al board. Questa visione è confermata anche dall'edizione 2017 del Global Enterprise Security Survey di Fortinet, che ha coinvolto oltre mille decisori aziendali in tutto il mondo, di cui un centinaio in Italia. La maggioranza (81 percento) delle imprese italiane ha subito una "falla" negli ultimi due anni. A colpire sono stati soprattutto malware, ransomware e social engineering.
La quota di furti di dati è bassa, ma probabilmente - commenta Filippo Monticelli, Regional Manager Italy di Fortinet - perché non è ancora obbligatorio comunicarli e perché le aziende italiane hanno una minore capacità di individuare realmente i furti quando sono "nascosti" da infezioni e attacchi DDoS.

L'aumento degli attacchi ha portato investimenti in sicurezza: il 64 percento delle aziende italiane ha aumentato il budget in questo senso. Ma le quote restano relativamente basse e oltre la metà delle imprese non vi dedica più del 15 percento del budget IT. Le aree di investimento chiave del 2017 sono state l’aggiornamento dei sistemi di sicurezza esistenti e l’implementazione di processi e policy di IT security. "Nel complesso siamo in linea con l’andamento della spesa globale, resta un ritardo di 6-12 mesi nell’adozione di soluzioni innovative rispetto alle nazioni più evolute", spiega Monticelli.

La questione "macro" è il poco coinvolgimento del board. Il 44 percento del campione italiano indica che non vede un adeguato livello di attenzione della dirigenza alla IT security e, quando c'è, l'approccio è reattivo, a seguito di incidenti e alla ricerca delle responsabilità. Che vanno soprattutto al dipartimento IT "quando sappiamo benissimo che i breach molto spesso sono legati a errori commessi da persone che non rientrano nell'IT", commenta Monticelli.
Il lato positivo è che diversi fattori stanno incrementando l'attenzione del board verso la sicurezza: la paura o l'esperienza diretta di un attacco, il ricambio generazionale del management e lo sviluppo di nuove normative. Ma è soprattutto la transizione al cloud che porta il board a considerare i temi della security, perché la transizione in sé coinvolge direttamente la dirigenza. L'86 percento del campione italiani indica che gli investimenti in sicurezza a supporto del passaggio al cloud sono una priorità del board.
Per il prossimo futuro i responsabili aziendali della sicurezza hanno in mente alcuni punti critici su cui c'è evidentemente da lavorare. Quello in prima fila non è tecnologico ma è la necessità di diffondere in azienda conoscenza sui temi della sicurezza e sulle possibili minacce, proprio per evitarle. Questo significa investire in formazione e training, far capire meglio ai dipendenti le policy che l'azienda segue e anche pensare alla formazione del board.
Tra gli aspetti più tecnologici si nota la tendenza (espressa dal 41 percento del campione italiano) a ridurre il numero di soluzioni installate di produttori diversi, in modo da arrivare a una infrastruttura di sicurezza più integrata e quindi più performante. Il tema delle prestazioni è importante e il 39 percento del campione indica che non trova una soluzione adatta all'aumento del traffico dati che va gestito in azienda.