Il mercato della sicurezza informatica sta cambiando faccia. È una reazione, fisiologica, alla trasformazione dei “cattivi”, gli attaccanti dei sistemi informativi usati dalle aziende e dei dati personali degli individui. È finita l’epoca degli antivirus, in buona sostanza, perché non sono più quelli i vettori degli attacchi. “Oggi tuttavia mancano i talenti – spiega a Cor.Com Art Gilliland, vicepresidente senior e general manager di Hp Enterprise Security Products –. Su dieci posizioni nel settore della security, solo per sei si riescono a trovare i profili adatti. E questo pone un ulteriore problema: dovendo lavorare molto, gli esperti di sicurezza sono fisiologicamente generalisti, mentre gli attaccanti, che sono molti di più e strutturati con un vero e proprio mercato, sono altamente specializzati e quindi capaci di andare molto in profondità con le conoscenze tecniche”.
Oggi il costo dei crimini informatici cresce (del 96% in media, secondo uno studio di Ponemon Institute finanziato da Hp, arrivando a un costo annuale di 12,7 milioni di dollari), gli eventi sono generalizzati e sempre più frequenti (+176% di attacchi alle aziende), mentre la risoluzione dei crimini informatici richiede più tempo (il tempo medio per identificare un attacco è di 170 giorni) e l’impatto è a 360 gradi, in tutti i settori.
Interruzione di servizio e furto di dati riservati sono le due voci più importanti negli incidenti informatici. “È finita l’era degli hooligan, adesso i criminali digitali sono professionisti motivati dal profitto”, evidenzia Gilliland. Il problema è spiegare e giustificare in azienda il costo della sicurezza. Soprattutto facendo riferimento a un problema peculiare: “Il lavoro che fa la stampa è importante, perché crea attenzione su questo settore, ma al tempo stesso genera ansia e un senso di urgenza. Ma gli interventi in azienda non devono essere pensati come tattica per parare i problemi urgenti, bensì come strategia per costruire difese adeguate ai problemi importanti”, puntualizza il manager.
Quello della security è un “viaggio”, come lo definiscono i consulenti, ma in quanto tale richiede una strategia e pianificazione, non un approccio dettato dai fatti di cronaca. “La percezione nel pubblico – spiena ancora Gilliland – è che le aziende, quando vengono “perforate” e vengono loro rubate ad esempio milioni di numeri di carte di credito o le fotografie nel cloud di migliaia di utenti, siano incapaci di prendere sul serio la sicurezza. Non è vero. Ci sono investimenti enormi e una profonda riflessione su quel che si deve fare. Il problema è che gli attaccanti sono sempre più bravi, sempre più specializzati, ci provano migliaia se non letteralmente milioni di volte e basta che riescano a bucare una volta sola i sistemi per aver vinto la partita”.
È molto utile che ci sia una regolamentazione comune, ritengono gli esperti di Hp, che sta investendo molto nella sua divisione per la sicurezza delle imprese, sia dal punto di vista della ricerca sia della costruzione di servizi da commercializzare. Tuttavia il problema è nell’approccio: “La normativa stabilisce qual è il livello minimo. Avere la compliance con la normativa non vuol dire avere lo stato dell’arte della security, ma il livello minimo considerato accettabile. Per questo occorre che nelle aziende venga fatta una riflessione più profonda sul ruolo strategico della security, risolvendo anche un problema di comunicazione molto forte con i vertici aziendali”, dice Gilliland.
Infatti, se da trent’anni e più l’information technology è entrata in azienda e oggi un Ceo “capisce” quando si parla di Big data, Crm, Erp, logistica, dematerializzazione dei documenti, il settore della security rimane ancora un tabù.
Una nicchia in cui ha un ruolo prevalente il gergo e che, per essere spiegato dagli esperti, richiede una semplificazione che spesso genera errori di comprensione. “Invece siamo all’inizio di un’epoca nuova: possiamo creare una sicurezza più razionale, unificando la sua gestione e soprattutto automatizzandola. Serve più collaborazione nel settore, ma per le aziende si trasformerà in un vantaggio enorme”, conclude Gilliland.