Lo sforzo che le aziende devono sostenere per garantire la sicurezza dei propri sistemi informativi e dei propri dati è sempre più articolato e gravoso. Una soluzione è di rivolgersi a un fornitore di servizi di sicurezza gestiti. Ma scegliere un fornitore esterno non è un compito facile. Ecco quali aspetti valutare prima di passare all’outsourcing

Nel 2016, secondo i dati forniti dall’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, la spesa per soluzioni di information security in Italia è stata di poco inferiore al miliardo di euro (972 milioni di euro), in crescita del 5% rispetto al 2015. A spendere di più sono le grandi imprese (74% del totale). Che investono in servizi di integrazione IT e consulenza (29%), software (28%), tecnologia (28%), e managed service (15%). «Le medie e le grandi imprese che allocano risorse per la sicurezza sopra il 3% oscillano tra il doppio e il triplo della media del mercato, a ulteriore riprova che la percezione ha un impatto effettivo sulla disponibilità ad alimentare un budget» – ci dice Daniela Rao, senior research & consulting director di IDC Italia. Secondo i dati IDC, oltre il 18% del finance dichiara di destinare alla sicurezza sopra al 5% del budget IT generale. Altri invece, come il manifatturiero e la PA, dichiarano nel 50 e 60%, rispettivamente, dei casi di non disporre di un budget destinato in modo specifico alla security.

«La capacità di spesa sulla sicurezza IT mette in evidenza una situazione molto complessa, e sotto molti aspetti problematica, che attraversa l’intera geografia dell’Italia senza una caratterizzazione locale»

Anche per chi ha la possibilità di investire, la sicurezza rappresenta comunque una sfida. La principale problematica rimane la carenza di risorse finanziarie adeguate, evidenziata da quasi il 26% delle imprese, comprese anche le medie e le grandi, a riprova del fatto che si tratta di un problema di cultura ancora prima che di dimensione degli investimenti. Il 19% delle imprese però mette in evidenza anche altri fattori, come la carenza di risorse umane e di competenze, e la crescente complessità degli attacchi informatici (due aspetti più che mai correlati tra loro). Il 10% parla della carenza di supporto da parte del top e del senior management e circa l’8% di una scarsa cultura aziendale e una carenza di formazione tra gli utenti dei sistemi. «Alcuni comparti, come il finance, esprimono in modo particolarmente acceso la sensibilità verso il tema della complessità degli attacchi e della scarsità di risorse umane, insieme alla necessità di dare una gestione continuativa 24×7 della sicurezza e di dare una definizione stringente delle policy di sicurezza. Altri, come la PA, mettono più in evidenza le questioni legate alla cultura aziendale, a tutti i livelli, dal top management agli utenti, e il tema scottante delle risorse disponibili. Il Centro e il Sud/Isole mettono davanti a tutti i problemi la carenza delle risorse finanziare, il Nord Ovest la carenza di cultura tra gli utenti e il Nord Est la carenza di competenze e supporto manageriale».

DIFFICOLTÀ A MISURARE IL ROI

Esistono poi altri casi, più minoritari nel mercato, di imprese che pur spendendo in innovazione si trovano bloccate dalla capacità di esprimere una adeguata valutazione del ritorno degli investimenti in sicurezza; oppure si trovano di fronte ad altre priorità IT, come il miglioramento della qualità del servizio e dei tempi di erogazione, apparentemente poco coordinabili con l’implementazione di nuovi dispositivi di sicurezza. Il dato dolente resta però il fatto che una parte molto ampia del mercato italiano non dispone di alcun investimento specifico nella sicurezza IT. Con motivazioni diverse è possibile tratteggiare uno scenario che accomuna molte delle imprese che guardano con scetticismo allo spending in sicurezza. «Spesso si tratta di organizzazioni in cui l’IT non ha alcuna missione di innovazione aziendale, in cui persiste una cultura aziendale che non crede nella crescente complessità degli attacchi e che comunque non dispone delle risorse umane necessarie per valutarli o affrontarli. Né si pone il problema di dotarsene».

Diversa la situazione invece nelle imprese che dedicano una porzione, ancorché limitata, del proprio budget alla gestione della sicurezza IT. Si tratta di organizzazioni che percepiscono chiaramente il rischio IT e che hanno già subito qualche data breach, o hanno avuto modo di provare sulla propria pelle i costi legati al ripristino in sicurezza e operatività dei sistemi. «Imprese che percepiscono chiaramente la crescente complessità degli attacchi e sentono la necessità di affrontarli e gestirli con consapevolezza e senza facili automatismi. Per queste imprese – continua Daniela Rao – le soluzioni di security intelligence svolgono un ruolo essenziale per il monitoraggio dei sistemi, ma ritengono sia sempre indispensabile l’occhio vigile di qualche risorsa dedicata per assicurarsi che l’operatività dei processi IT proceda secondo i canoni della normalità». Secondo i dati forniti da IDC, alla fine di quest’anno il mercato dei servizi gestiti (core, advanced e complementary) raggiungerà un giro d’affari superiore ai 22 miliardi di dollari, in crescita di oltre il 10% rispetto all’anno precedente e sino al 2022 quando raggiungerà un volume pari a circa 32,2 miliardi di dollari con un CAGR per il quinquennio 2016-2021 attestato intorno al 10%.

Leggi anche:  L’occhio intelligente e discreto della videosorveglianza

«Il security as a service non richiede l’installazione di appliance o soluzioni in house, e abbassa quindi la richiesta di investimenti iniziali, spostando tutta la spesa sull’OpEx» – spiega Daniela Rao di IDC Italia. «Le attività di security erogate in cloud possono essere indirizzate a utenti distribuiti (sedi remote, lavoratori in mobilità), mantenendo un controllo centralizzato, con vantaggi in termini di riduzione dei costi di gestione azzerando la spesa per hardware e software on premises». Chi acquista però deve saper individuare la soluzione più appropriata per il proprio business e più in generale i pro e i contro della scelta. IDC individua una serie di tendenze da valutare prima di effettuare delle scelte di investimento in sicurezza: costi, personale adeguato, servizi professionali, integrazione di strumenti, tecnologie e architetture.   Per i fornitori di servizi gestiti di sicurezza (MSSP), l’onere è di convincere le imprese della bontà dei servizi offerti all’altezza di un ampio ventaglio di esigenze. Servizi che siano il frutto di un’approfondita conoscenza del mercato. A partire dalla piena comprensione della percezione delle minacce da parte di prospect e clienti. Dato che può variare parecchio.

ASCOLTO E MONITORAGGIO

Secondo Giulio Vada, country manager di G DATA Italia, un MSSP si configura come un valido interlocutore se possiede requisiti come la competenza necessaria a interpretare correttamente le esigenze del committente. «Esigenze che devono trovare un riscontro anche nella proposta commerciale. In secondo luogo – prosegue Vada – l’MSSP deve avere la capacità di assicurare un livello di incident response e quindi SLA che garantiscano all’azienda finale il costante monitoraggio dell’infrastruttura e offrano strumenti attraverso cui reagire prontamente in caso di incidente o disservizio». Per Alberto Brera, country manager di Stormshield Italia – «gli MSSP oggi offrono la propria capacità di mettere in sicurezza le infrastrutture IT con strumenti sicuri e coerenti con le esigenze della clientela, la loro capacità di gestire questi strumenti e la propria disponibilità a supportare il processo di crescita culturale nelle aziende». E tutto questo – come rileva Valerio Rosano, country manager di Zyxel Italia – porta a un’evoluzione del modello di proposizione commerciale. «Il rivenditore/system integrator passa dalla modalità “break/fit” tipicamente reattiva, in pratica intervengo solo quando si concretizza il problema, a un servizio a fatturazione continuativa che opera affinché le problematiche tecniche non si verifichino».

Servizi rivolti ad aziende che percepiscono la sicurezza come processo costante e non come casella da “flaggare” non appena si acquista una qualsiasi soluzione antivirus. «Realtà che si rivolgono a nostri partner alla ricerca di soluzioni e servizi in grado di aiutarli a integrare la sicurezza nelle attività di risk management e tutela degli asset critici» – spiega Vada di G DATA Italia. «Realtà che hanno compreso che avvalersi di un mero antivirus non basta. E che sono alla ricerca di soluzioni che le proteggano da un lato contro minacce esterne e interne (fattore umano, abuso o uso inappropriato delle risorse aziendali) e che, dall’altro, le supportino nella gestione delle policy di sicurezza aziendali, nel monitoraggio dell’effettivo stato operativo dei dispositivi di rete e nel porre rimedio alle vulnerabilità dei sistemi attraverso un sistema di patch management intelligente. Una soluzione che consenta loro di gestire tutti questi aspetti della sicurezza centralmente e assicurare al contempo la compliance alle normative». PMI a caccia di servizi pacchettizzati in un’offerta unica. Offerta che in questo momento – secondo Mauro Cicognini, membro del comitato direttivo di CLUSIT – non sembra andare molto più in là di alcuni servizi di base. «Per una piccola azienda è molto complesso avere sufficiente consapevolezza del tema sicurezza, anche solo limitandosi a quegli aspetti che sono obbligatori per legge. E questo rende ancora più difficile per gli MSSP raccontare alla PMI la propria offerta, e farne percepire il valore».

L’ALIBI DEI COSTI

La convinzione dell’eccessiva onerosità dei costi di accesso ai servizi di sicurezza gestiti è diffusa soprattutto tra le piccole imprese. Parliamo di aziende che mal digeriscono la necessità di giustificare budget “gonfiati” per fare spazio alla sicurezza. Un problema acutizzato – oltre che dalla cronica mancanza di risorse – dalla difficoltà di trovare provider specializzati in servizi di sicurezza gestiti modulati sulle esigenze delle organizzazioni più piccole: disponibilità, che ne eleverebbe l’appeal. Una resistenza che fa il paio con quella di non credere di poter rappresentare un potenziale target di un attacco informatico. E puntellata dalla convinzione di essere trasparenti di fronte a minacce come lo spionaggio industriale o peggio la cyberwar.

Leggi anche:  Check Point Software Technologies presenta CADET: intelligenza artificiale in azione

In realtà, i malintenzionati vanno esattamente dove sono certi di poter colpire rischiando poco. Cioè dalle aziende più esposte in caso di attacco. Perciò ignorare o sottovalutare i rischi, mette in serio pericolo la sopravvivenza stessa delle realtà più piccole, concentrate sulla crescita del business e assai meno propense a investire in sicurezza e attività di formazione del personale. E in molti casi, penalizzate dalla scarsa definizione dei servizi e da SLA generalmente sbilanciati a favore del fornitore. «Il cliente non ha quasi mai il tempo e le competenze per rivedere nei dettagli il contratto, o la forza negoziale per modificarlo, e spesso si trova ad aver pagato per un servizio che sul più bello è inefficace» – afferma Cicognini di Clusit. «Del resto, quando la scelta dell’outsourcing è fatta dai clienti principalmente con l’intento di liberarsi di un problema e allo stesso tempo diminuire i costi, non credo sia sorprendente che la percentuale di soddisfazione dei clienti medesimi sia generalmente abbastanza bassa». Un altro tasto dolente che – come sottolinea Daniela Rao di IDC Italia – è da sempre particolarmente problematico quando si parla di sicurezza IT. «Lo sviluppo di una specifica cultura richiede una radicale evoluzione nella comprensione del rischio IT. Soltanto il 19% delle imprese italiane considera la sicurezza un investimento strategico. Si osserva una qualche progressione nella percezione della minaccia rispetto al più recente passato, ma si tratta ancora di una evoluzione piuttosto lenta, che riguarda soprattutto le medio-grandi aziende. Mentre il 35% delle imprese italiane la considera soltanto una voce di costo supplementare, nell’ambito del budget, sempre più articolato e complesso, necessario per la gestione dell’IT aziendale, e ben il 32%, soprattutto tra le micro e le piccole, la considera un costo del tutto contingente e saltuario, una spesa da affrontare una volta ogni tanto, per poi dimenticarsi completamente del problema». La musica, almeno fino a un certo punto, cambia con le aziende medio-grandi. Di norma, pur con macroscopiche eccezioni, più strutturate. Ma le cui esigenze variano anche sensibilmente a seconda degli ambiti della sicurezza che si decide di esternalizzare.

«Le aziende medio-grandi, che optano per servizi di sicurezza gestiti, tendono a richiedere servizi aggiuntivi rispetto a quelli sufficienti alle PMI, quali sessioni di pen-testing periodiche e programmate, servizi di vulnerability assessment spesso richiesti dalle policy aziendali, servizi di analisi e consulenza per la governance dell’intero sistema ICT, corsi di informazione e sensibilizzazione del personale, servizi di reportistica periodica più strutturati e complessi rispetto a quelli delle PMI» – afferma Alberto Brera di Stormshield Italia. Qui, probabilmente la fiducia è il fattore che più frena l’adozione di servizi gestiti. In genere, le aziende che conoscono i rischi di un attacco informatico, per sé come per i propri clienti, sono più propense ad assumersene gli oneri. Tuttavia, alcune di loro rimangono restie a concedere a provider esterni l’accesso ai propri sistemi. Una resistenza influenzata dalla percezione che anche un MSSP possa a sua volta essere esposto a vulnerabilità, attacchi e fughe di dati. Una resistenza su cui qualche volta si innesta la falsa credenza di disporre delle risorse necessarie per far fronte alle situazioni di rischio.

Armonizzare gli interventi necessari per la messa in sicurezza del sistema informativo in presenza di servizi di sicurezza gestiti aggiunge in genere un ulteriore grado di difficoltà. «Qualsiasi intervento sull’ecosistema della rete d’impresa riflette una iniziale complessità aggiuntiva» – afferma Antonio Pusceddu, country sales manager di F-Secure Italia. E sicuramente l’integrazione di servizi di sicurezza gestiti – «pone delle sfide alle aziende che devono trovare un punto comune sui processi e sulle tecnologie sul quale instaurare la relazione con il proprio fornitore» – spiega Vicki Vinci, business line manager security di Kirey Group. «Chi eroga servizi di sicurezza ha come focus il massimo risultato nella messa in opera delle proprie capacità; chi ne usufruisce invece deve essere in grado di razionalizzarne le competenze con i processi di business propri dell’azienda. La bontà di questo anello di congiunzione farà la differenza tra un progetto di successo e il mancato raggiungimento di un miglior livello di sicurezza».

UN PASSAGGIO COMPLICATO

Il passaggio dalla gestione interna a un servizio gestito non è quasi mai facile. «Soprattutto perché non è quasi mai facile tracciare un confine netto e capire quali attività effettivamente “passano” e quali invece restano» – osserva Cicognini. «Capita cioè che qualcosa che si vorrebbe delegare non sia compreso nell’offerta di servizio. E viceversa, che il servizio comprenda qualcosa che invece si preferirebbe mantenere “in casa”. Spesso poi la situazione è difficile da definire, soprattutto quando i processi non sono del tutto maturi». Esternalizzare a queste condizioni è a parere di Cicognini probabilmente una delle scelte peggiori: «Nella mia esperienza, la conseguenza pressoché certa è una decisa insoddisfazione del cliente rispetto al servizio. E dal lato del fornitore, si registra una forte difficoltà a interfacciarsi con il cliente». Un rischio che a conti fatti – secondo Pusceddu di F-Secure – vale la pena di correre. «Oggi, in media, una azienda impiega quasi 200 giorni per riconoscere un data breach, e circa altri 100 per implementare le soluzioni necessarie.

Leggi anche:  Gli hacker nordcoreani hanno rubato decine di milioni di dollari dai bancomat

Il Rapporto Clusit 2018 sullo stato della sicurezza ICT stima in circa 10 miliardi di euro il costo sostenuto nel nostro Paese per fronteggiare il fenomeno. In questo scenario – continua Pusceddu – le complessità derivate da un intervento adeguato sui sistemi e sulle reti aziendali per la messa in sicurezza non solo appaiono ben motivate, ma sono urgenti e non più rimandabili, perché in gioco, c’è la stessa continuità aziendale». Per tutte però, l’errore più frequente è concentrarsi su una singola soluzione tecnologica che risolve solo uno degli aspetti di sicurezza. «Il percorso migliore parte da una presa di consapevolezza del livello di rischio che l’organizzazione corre per il modo in cui vengono utilizzati i suoi asset e per la loro relativa esposizione che il modello di business impone nei confronti del potenziale attaccante» – spiega Vinci di Kirey Group. «Una volta compreso il disegno complessivo e valutate le priorità delle aree d’intervento sarà possibile decidere con cognizione da dove partire e quali risorse far mettere a disposizione da parte del management dell’azienda».

Forse, i segnali più concreti di una esternalizzazione riuscita vengono proprio dalla maturità dei processi. «In alcune organizzazioni, si nota chiaramente che i processi di gestione della sicurezza sono meglio definiti e più efficaci. E possono coinvolgere i fornitori di servizi esterni senza ambiguità su quale sia il loro ruolo e quali parti del processo siano a essi delegate» – afferma Cicognini. «Nei casi più virtuosi, l’esternalizzazione porta senz’altro maggiore sicurezza, grazie alle economie di scala che sono possibili ai MSSP che consentono anche ai “piccoli” di avere a disposizione (in quota parte, naturalmente) strutture che altrimenti sarebbero accessibili solo alle grandi organizzazioni».

Il vantaggio più ovvio in ogni caso, resta la possibilità di colmare il gap di sicurezza IT dell’azienda. «Per un’azienda piccola o media, gli MSSP rappresentano (o rappresenterebbero, se esistessero) l’unica soluzione possibile al problema, perché senz’altro un’azienda sotto una certa dimensione non può permettersi l’overhead necessario al controllo e alla gestione puntuale della propria sicurezza» – conclude Cicognini. «Una PMI ha bisogno di servizi al livello della grande corporate, ma non può permetterseli. L’unica strada è di mettersi insieme ad altri e pagare in modo uniforme e ricorrente per dei servizi industrializzati messi a disposizione a tutti gli acquirenti nello stesso modo». Ma per rispondere compiutamente alle variegate esigenze di sicurezza delle imprese, occorre sforzarsi di guardare verso un orizzonte di lungo periodo: solo così, sarà possibile riconoscere il valore degli investimenti e della collaborazione.