I risultati di un recente studio suggeriscono come la sicurezza debba andare incontro a un profondo processo di revisione all’interno delle aziende, a causa principalmente di problemi come la scarsa comunicazione interna, la mancanza di dipendenti con la necessaria consapevolezza, la mancanza di budget e una produttività rallentata.

Nel suo 2016 Cybersecurity Confidence Report la compagnia di sicurezza Barkly ha intervistato 350 professionisti IT sia per capire quali saranno le preoccupazioni maggiori a livello di sicurezza nel corso del 2016, sia per tastare il livello di consapevolezza dei rischi da parte dei dirigenti IT. Il sondaggio ha quindi riguardato temi come il numero di attacchi subiti nel 2015, la quantità di tempo spesa a gestire la sicurezza e, nella maggior parte dei casi, i risultati sono stati a dir poco preoccupanti.

La sicurezza è certamente al centro delle preoccupazioni dell’IT aziendale visto anche che gli attacchi stanno diventando sempre più frequenti, sofisticati e pericolosi, ma da qui a mettere in pratica soluzioni di sicurezza efficaci il passo è risultato molto più impegnativo del previsto. A emergere infatti sono stati problemi molto gravi come la mancanza di una giusta comunicazione tra dirigenti e IT e, soprattutto, una generale frustrazione di fronte a pratiche di sicurezza viste come un freno alla produttività.

“In realtà una sicurezza efficace e ben gestita non influisce negativamente sull’efficienza. L’efficienza infatti non può essere misurata dalla velocità di un singolo utente nell’eseguire una certa operazione, ma deve essere collegata alle performance aziendali nel loro insieme” ha dichiarato Jack Danahy, CTO e co-fondatore di Barkly.

Non capendo appieno i rischi derivanti da pratiche poco sicure, i dipendenti vedono la sicurezza come un ostacolo alla produttività

Il sondaggio mette in luce tra l’altro come la metà degli intervistati non abbia fiducia nelle iniziative e nei prodotti di sicurezza utilizzati al momento nelle proprie aziende, mentre il 20% non crede nemmeno che sia possibile avere un sistema di sicurezza endpoint davvero efficace. Tre intervistati su quattro si dicono poi convinti che i dipendenti abbiano una conoscenza e una consapevolezza a dir poco limitata dei problemi legati alla sicurezza. Da qui nasce poi un altro problema.

Non capendo appieno i rischi derivanti da pratiche poco sicure, i dipendenti vedono la sicurezza come un ostacolo alla produttività e spesso prendono “scorciatoie” che possono rivelarsi estremamente dannose. Ecco perché, sempre secondo Danahy, deve esserci più comunicazione tra chi si occupa di IT e i dipendenti. Questi devono essere informati in modo da far capire loro quali sono i rischi nel non mettere in pratiche le giuste misure in ambito sicurezza.

Non dimentichiamo poi un altro fattore importante come il ritorno sull’investimento (ROI), effettivamente difficile da dimostrare quando si parla di sicurezza. Chi guida un’azienda infatti implementa nuovi processi, nuove procedure e nuovi stanziamenti di budget se è sicuro che tutto ciò porterà a un guadagno. Ma tutto ciò diventa complicato quando c’è di mezzo la sicurezza e si deve investire in nuovi software, in nuovo hardware o nell’implementazione di misure di sicurezza sempre più ampie.

Eppure, stando al sondaggio, il 52% dei dirigenti IT si dice pronto ad acquistare nuovo software per migliorare la sicurezza, mentre uno su quattro si dice pronto a spendere quello che c’è da spendere per qualcosa di più efficace e affidabile in termini di sicurezza. La volontà insomma non manca, ma di fronte a un ROI difficile da dimostrare tutto si complica inevitabilmente.

è ridicolo parlare di ritorno sull’investimento quando c’è di mezzo la sicurezza

Anche perché la ricerca mette in luce come solo un CIO su sette sia in contatto diretto e frequente con il CEO e spesso i dirigenti IT sono lasciati del tutto fuori dalla decisioni aziendali. E questo, è bene dirlo, succede quando il 74% di chi si occupa di sicurezza è convinto che nel 2016 sarà lanciato almeno un attacco contro la sua azienda, con in più il 30% degli intervistati che riporta continui tentativi giornalieri di phishing.

Secondo Eddie Schwartz dell’ISACA’s Cybersecurity Task Force è ridicolo parlare di ROI quando c’è di mezzo la sicurezza e soprattutto quando, di fronte agli attacchi degli ultimi anni, si è ormai capito che la sicurezza dovrebbe essere un’area di investimento chiave per un’azienda. “Se un CIO non è in grado di spiegare il perché si debbano fare certi investimenti in sicurezza, allora è meglio che non faccia il CIO”.

Eppure, se la percezione della sicurezza rimane molto alta e tutti si dicono pronti a fare quanto possibile per aumentarla, gli ostacoli perché ciò avvenga sono ancora numerosi. Come già detto in precedenza, lo studio di Barkly ha chiesto agli intervistati quali siano questi ostacoli e, come riposta, il 41% ha detto il rallentamento della produttività, mentre per il 33% le pratiche di sicurezza sono troppo costose e per il 36% ci sono troppi e continui aggiornamenti da fare.

Si è insomma giunti a un punto in cui i dirigenti IT sono costretti a scegliere tra una sicurezza forte e la produttività e molte aziende preferiscono puntare sulla seconda. Ma se già ora le preoccupazioni per i professionisti della sicurezza sono elevate, le cose sono destinate a peggiorare con il passare del tempo. Non solo per una nuova ondata di attacchi destinata a farsi più sofisticata e pericolosa, ma anche perché scenari come quelli della Internet of Things e dell’intelligenza artificiale stanno causando già ora diverse preoccupazioni a livello di sicurezza.

Bisogna quindi riconsiderare le misure di sicurezza e tocca proprio ai leader IT farlo e convincere gli latri dirigenti che la sicurezza è una parte critica e fondamentale per qualsiasi azienda.

WHITEPAPER GRATUITI
  • Computerworld Speciale Industria 4.0
    white paper
    Computerworld Italia – Speciale Industria 4.0
    Un PDF da scaricare per leggerlo comodamente su pc o tablet e avere sotto mano e in un unica soluzione le notizie, le analisi e gli approfondimenti sulla trasformazione in atto nel settore manifatturiero, da più parti definita "quarta rivoluzione industriale".
  • white paper
    Computerworld Italia – Speciale GDPR
    Un PDF da sfogliare online o scaricare per leggerlo comodamente su pc o tablet, per avere sotto mano e in un unica soluzione le notizie, le analisi e gli approfondimenti su come le aziende devono affrontare l'arrivo del GDPR.
  • white paper
    Computerworld Italia – Speciale Data Center
    Un PDF da sfogliare o scaricare su pc o tablet per avere sotto mano le notizie, le analisi e gli approfondimenti sulle principali tendenze dei Data Center: integrazione con il Cloud, approccio software-defined, ottimizzazione delle prestazioni energetiche e molto altro