Outsourcing della sicurezza IT: cosa manca

outsourcing sicurezza IT

Lo sforzo che le aziende devono sostenere per garantire la sicurezza dei propri sistemi informativi e dei propri dati è sempre più articolato e gravoso. Una soluzione è di rivolgersi a un fornitore di servizi di sicurezza gestiti. Ma scegliere un fornitore esterno non è un compito facile. Ecco quali aspetti valutare prima di passare all’outsourcing

Nel 2016, secondo i dati forniti dall’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, la spesa per soluzioni di information security in Italia è stata di poco inferiore al miliardo di euro (972 milioni di euro), in crescita del 5% rispetto al 2015. A spendere di più sono le grandi imprese (74% del totale). Che investono in servizi di integrazione IT e consulenza (29%), software (28%), tecnologia (28%), e managed service (15%). «Le medie e le grandi imprese che allocano risorse per la sicurezza sopra il 3% oscillano tra il doppio e il triplo della media del mercato, a ulteriore riprova che la percezione ha un impatto effettivo sulla disponibilità ad alimentare un budget» – ci dice Daniela Rao, senior research & consulting director di IDC Italia. Secondo i dati IDC, oltre il 18% del finance dichiara di destinare alla sicurezza sopra al 5% del budget IT generale. Altri invece, come il manifatturiero e la PA, dichiarano nel 50 e 60%, rispettivamente, dei casi di non disporre di un budget destinato in modo specifico alla security.

«La capacità di spesa sulla sicurezza IT mette in evidenza una situazione molto complessa, e sotto molti aspetti problematica, che attraversa l’intera geografia dell’Italia senza una caratterizzazione locale»

Anche per chi ha la possibilità di investire, la sicurezza rappresenta comunque una sfida. La principale problematica rimane la carenza di risorse finanziarie adeguate, evidenziata da quasi il 26% delle imprese, comprese anche le medie e le grandi, a riprova del fatto che si tratta di un problema di cultura ancora prima che di dimensione degli investimenti. Il 19% delle imprese però mette in evidenza anche altri fattori, come la carenza di risorse umane e di competenze, e la crescente complessità degli attacchi informatici (due aspetti più che mai correlati tra loro). Il 10% parla della carenza di supporto da parte del top e del senior management e circa l’8% di una scarsa cultura aziendale e una carenza di formazione tra gli utenti dei sistemi. «Alcuni comparti, come il finance, esprimono in modo particolarmente acceso la sensibilità verso il tema della complessità degli attacchi e della scarsità di risorse umane, insieme alla necessità di dare una gestione continuativa 24×7 della sicurezza e di dare una definizione stringente delle policy di sicurezza. Altri, come la PA, mettono più in evidenza le questioni legate alla cultura aziendale, a tutti i livelli, dal top management agli utenti, e il tema scottante delle risorse disponibili. Il Centro e il Sud/Isole mettono davanti a tutti i problemi la carenza delle risorse finanziare, il Nord Ovest la carenza di cultura tra gli utenti e il Nord Est la carenza di competenze e supporto manageriale».

DIFFICOLTÀ A MISURARE IL ROI DEI SERVIZI DI OUTSOURCING SICUREZZA IT

Esistono poi altri casi, più minoritari nel mercato, di imprese che pur spendendo in innovazione si trovano bloccate dalla capacità di esprimere una adeguata valutazione del ritorno degli investimenti in sicurezza; oppure si trovano di fronte ad altre priorità IT, come il miglioramento della qualità del servizio e dei tempi di erogazione, apparentemente poco coordinabili con l’implementazione di nuovi dispositivi di sicurezza. Il dato dolente resta però il fatto che una parte molto ampia del mercato italiano non dispone di alcun investimento specifico nella sicurezza IT. Con motivazioni diverse è possibile tratteggiare uno scenario che accomuna molte delle imprese che guardano con scetticismo allo spending in sicurezza. «Spesso si tratta di organizzazioni in cui l’IT non ha alcuna missione di innovazione aziendale, in cui persiste una cultura aziendale che non crede nella crescente complessità degli attacchi e che comunque non dispone delle risorse umane necessarie per valutarli o affrontarli. Né si pone il problema di dotarsene».

Diversa la situazione invece nelle imprese che dedicano una porzione, ancorché limitata, del proprio budget alla gestione della sicurezza IT. Si tratta di organizzazioni che percepiscono chiaramente il rischio IT e che hanno già subito qualche data breach, o hanno avuto modo di provare sulla propria pelle i costi legati al ripristino in sicurezza e operatività dei sistemi. «Imprese che percepiscono chiaramente la crescente complessità degli attacchi e sentono la necessità di affrontarli e gestirli con consapevolezza e senza facili automatismi. Per queste imprese – continua Daniela Rao – le soluzioni di security intelligence svolgono un ruolo essenziale per il monitoraggio dei sistemi, ma ritengono sia sempre indispensabile l’occhio vigile di qualche risorsa dedicata per assicurarsi che l’operatività dei processi IT proceda secondo i canoni della normalità». Secondo i dati forniti da IDC, alla fine di quest’anno il mercato dei servizi gestiti (core, advanced e complementary) raggiungerà un giro d’affari superiore ai 22 miliardi di dollari, in crescita di oltre il 10% rispetto all’anno precedente e sino al 2022 quando raggiungerà un volume pari a circa 32,2 miliardi di dollari con un CAGR per il quinquennio 2016-2021 attestato intorno al 10%.

Leggi anche:  IoT: password di default la grande minaccia

«Il security as a service non richiede l’installazione di appliance o soluzioni in house, e abbassa quindi la richiesta di investimenti iniziali, spostando tutta la spesa sull’OpEx» – spiega Daniela Rao di IDC Italia. «Le attività di security erogate in cloud possono essere indirizzate a utenti distribuiti (sedi remote, lavoratori in mobilità), mantenendo un controllo centralizzato, con vantaggi in termini di riduzione dei costi di gestione azzerando la spesa per hardware e software on premises». Chi acquista però deve saper individuare la soluzione più appropriata per il proprio business e più in generale i pro e i contro della scelta. IDC individua una serie di tendenze da valutare prima di effettuare delle scelte di investimento in sicurezza: costi, personale adeguato, servizi professionali, integrazione di strumenti, tecnologie e architetture.   Per i fornitori di servizi gestiti di sicurezza (MSSP), l’onere è di convincere le imprese della bontà dei servizi offerti all’altezza di un ampio ventaglio di esigenze. Servizi che siano il frutto di un’approfondita conoscenza del mercato. A partire dalla piena comprensione della percezione delle minacce da parte di prospect e clienti. Dato che può variare parecchio.

ASCOLTO E MONITORAGGIO

Secondo Giulio Vada, country manager di G DATA Italia, un MSSP si configura come un valido interlocutore se possiede requisiti come la competenza necessaria a interpretare correttamente le esigenze del committente. «Esigenze che devono trovare un riscontro anche nella proposta commerciale. In secondo luogo – prosegue Vada – l’MSSP deve avere la capacità di assicurare un livello di incident response e quindi SLA che garantiscano all’azienda finale il costante monitoraggio dell’infrastruttura e offrano strumenti attraverso cui reagire prontamente in caso di incidente o disservizio». Per Alberto Brera, country manager di Stormshield Italia – «gli MSSP oggi offrono la propria capacità di mettere in sicurezza le infrastrutture IT con strumenti sicuri e coerenti con le esigenze della clientela, la loro capacità di gestire questi strumenti e la propria disponibilità a supportare il processo di crescita culturale nelle aziende». E tutto questo – come rileva Valerio Rosano, country manager di Zyxel Italia – porta a un’evoluzione del modello di proposizione commerciale. «Il rivenditore/system integrator passa dalla modalità “break/fit” tipicamente reattiva, in pratica intervengo solo quando si concretizza il problema, a un servizio a fatturazione continuativa che opera affinché le problematiche tecniche non si verifichino».

Servizi rivolti ad aziende che percepiscono la sicurezza come processo costante e non come casella da “flaggare” non appena si acquista una qualsiasi soluzione antivirus. «Realtà che si rivolgono a nostri partner alla ricerca di soluzioni e servizi in grado di aiutarli a integrare la sicurezza nelle attività di risk management e tutela degli asset critici» – spiega Vada di G DATA Italia. «Realtà che hanno compreso che avvalersi di un mero antivirus non basta. E che sono alla ricerca di soluzioni che le proteggano da un lato contro minacce esterne e interne (fattore umano, abuso o uso inappropriato delle risorse aziendali) e che, dall’altro, le supportino nella gestione delle policy di sicurezza aziendali, nel monitoraggio dell’effettivo stato operativo dei dispositivi di rete e nel porre rimedio alle vulnerabilità dei sistemi attraverso un sistema di patch management intelligente. Una soluzione che consenta loro di gestire tutti questi aspetti della sicurezza centralmente e assicurare al contempo la compliance alle normative». PMI a caccia di servizi pacchettizzati in un’offerta unica. Offerta che in questo momento – secondo Mauro Cicognini, membro del comitato direttivo di CLUSIT – non sembra andare molto più in là di alcuni servizi di base. «Per una piccola azienda è molto complesso avere sufficiente consapevolezza del tema sicurezza, anche solo limitandosi a quegli aspetti che sono obbligatori per legge. E questo rende ancora più difficile per gli MSSP raccontare alla PMI la propria offerta, e farne percepire il valore».

L’ALIBI DEI COSTI

La convinzione dell’eccessiva onerosità dei costi di accesso ai servizi di sicurezza gestiti è diffusa soprattutto tra le piccole imprese. Parliamo di aziende che mal digeriscono la necessità di giustificare budget “gonfiati” per fare spazio alla sicurezza. Un problema acutizzato – oltre che dalla cronica mancanza di risorse – dalla difficoltà di trovare provider specializzati in servizi di sicurezza gestiti modulati sulle esigenze delle organizzazioni più piccole: disponibilità, che ne eleverebbe l’appeal. Una resistenza che fa il paio con quella di non credere di poter rappresentare un potenziale target di un attacco informatico. E puntellata dalla convinzione di essere trasparenti di fronte a minacce come lo spionaggio industriale o peggio la cyberwar.