GDPR : l’nchiesta di Partners sulla sicurezza

Le imprese italiane non sono pronte per la compliance al GDPR e spendono troppo poco per la protezione dei dati delle risorse informatiche

Guardando il lato positivo, possiamo osservare una crescita di attenzione nei confronti della sicurezza. Attacchi devastanti come WannaCry dello scorso anno e altri episodi legati alle estorsioni con il ramsonware hanno portato in televisione e sui tanti canali d’informazione il problema della sicurezza informatica. Sembra tuttavia prevalere la vecchia logica del “tanto a me non capita” , visto i livelli bassi d’investimento in sicurezza.

Un’inchiesta della nostra redazione ha sondato il tema della conformità al regolamento europeo e quello della spesa per la struttura dedicata alla sicurezza informatica.

I risultati sono deludenti: Il 76% delle imprese che hanno risposto al nostro sondaggio o che abbiamo intervistato direttamente, spendono meno del 10% in sicurezza informatica, cioè meno dello stretto necessario, stando alle valutazioni effettuate dagli esperti del Gartner. Questi ultimi, infatti, ritengono che la suddetta quota occorra solo per la gestione ordinaria della sicurezza, come ci riporta Davide Del Vecchio, Global Head of Enterprise Security di Yoox Net-a-porter Group, nonché membro del consiglio direttivo del Clusit. In altre parole potrebbe bastare a chi ha già messo in piedi una strategia per la security. Nella realtà, però, le imprese italiane sono ancora molto indietro, come sostengono molti analisti e come viene confermato dal nostro sondaggio.

Sono ben il 79% le imprese italiane che ammettono di non essere pronte per il GDPR (General Data Protection Regulation). Una normativa che è stata varata dall’Unione Europea nell’aprile del 2016 ed è entrata in vigore il 25 maggio dello stesso anno, fissando al 25 maggio del 2018 la data in cui avrà efficacia. In altre parole sono stati concessi due anni di tempo per mettersi in regola con la normativa.

Sono rimasti poco più di quattro mesi, ma le imprese italiane non sono ancora pronte, almeno stando a una nostra inchiesta, realizzata sulla base di alcune interviste dirette e, soprattutto, un sondaggio cui hanno partecipato oltre 200 addetti ai lavori.

Sondaggio che, ci teniamo a precisare, non ha alcun presupposto statistico, non trattandosi di un campione significativo, né in termini numerici né quale rappresentanza dell’universo di specialisti ICT, security manager e business manager (le tre tipologie di intervistati da noi contattati).

Peraltro, i risultati ottenuti, costituiscono una base di riflessione che ci permette d’integrare le opinioni espresse da numerosi esperti, sia in seno a società di ricerca qualificate, sia presso vendor del settore ICT, specializzati in sicurezza.

Sempre all’ultimo momento

In sostanza, dunque sono poco più del 20% le imprese che si sentono a posto con la nuova normativa ed è probabile che si tratti perlopiù delle più grandi o, in particolare, delle banche e delle società di telecomunicazioni, già soggette a regole stringenti imposte sia dall’attuale normativa italiana sulla privacy sia da normative internazionali. Aziende che avevano poco o nulla da aggiungere per essere conformi  al GDPR.

Sappiamo bene che in Italia siamo abituati a ridurci all’ultimo momento, ma non sempre poi ci riescono le ciambelle col buco, come può testimoniare l’attuale sindaco di Milano, Giuseppe Sala, chiamato all’ultimo momento per far partire l’Expo 2015 e ora accusato di aver usato qualche scorciatoia. Meno male che è stato un successo, perché Gian Piero Ventura, ex commissario tecnico della nazionale di calcio, non può nemmeno consolarsi dell’esito finale. Ad andarci di mezzo è stato anche il suo “capo” Carlo Tavecchio, costretto alle dimissioni dalla presidenza della Federazione Italiana Giuoco Calcio.

Rischi che corrono anche dirigenti delle imprese che non saranno conformi al GDPR in tempo.

Purtroppo in molti hanno ritenuto il 25 maggio prossimo, come la data in cui cominciare a realizzare il piano per la sicurezza e adeguarsi alle nuove norme. Di fatto, invece, è il giorno in cui potrebbero arrivare le prime ispezioni.

Molti degli esperti con cui abbiamo parlato sono convinti che la corsa alla compliance partirà veramente solo dopo che fioccheranno le prime multe.

Ricordiamo, infatti, che mentre banche e telco da tempo erano tenute a informare di eventuali violazioni, dal 25 maggio toccherà farlo a tutti e sono in tanti a non accorgersi di un attacco andato a buon fine se non dopo settimane o mesi

Un aspetto importante è la possibilità di “scaricare” parte della responsabilità a una società esterna. Un vantaggio per chi già utilizza servizi di terze parti per la sicurezza, cioè il 38% dei rispondenti al nostro sondaggio, che hanno dichiarato di esternalizzare almeno in parte la gestione della sicurezza.

Questo dato mostra un’opportunità importante per tutti: sia per le imprese del settore, che possono ampliare i propri servizi aumentando l’offerta di managed security service (o MSS) sia per le aziende della domanda, che possono concentrarsi sul proprio core business, delegando agli esperti le onerose e delicate operazioni di protezione dei dati. È evidente che il tutto dovrà reggersi grazie a un rapporto di fiducia, una vera e propria partnership tra chi finora ha “semplicemente” venduto soluzioni, come firewall e antivirus e chi fino a ieri si limitava a installare del software e dei dispositivi.

Sul fronte della fiducia, la nostra inchiesta mostra un buon grado di maturità, rappresentato, a nostro avviso, dal punteggio più alto ottenuto dalla sicurezza nella scelta di un cloud provider, laddove il costo è l’ultima delle preoccupazioni.

Il cloud cambia le regole del gioco e spinge l’innovazione

Il passaggio appena descritto potrebbe non riguardare solo la sicurezza e invece estendersi ad altri servizi informatici, secondo la logica “dell’as a service” introdotta dal cloud. Le imprese del canale ICT possono trovare crescenti benefici per il loro business dalla trasformazione in managed service provider, di cui la sicurezza è solo la punta dell’iceberg.

Alla fine, per un imprenditore si tratta di trovare il partner giusto che sappia fare il proprio mestiere, per concentrarsi sulle attività principali. Ciò non impedisce di conservare un reparto interno dedicato all’informatica e alla sua sicurezza, ma deve sussistere una motivazione forte, quale potrebbe essere lo sviluppo innovativo.

Sempre più la digitalizzazione sta portando “intelligenza” nelle operazioni industriali. È il fenomeno dell’Internet of Things. Le imprese devono e possono sfruttare le nuove tecnologie e le capacità di connessione e integrazione per ottimizzare i processi a tutti i livelli. In sintesi, il “vecchio” reparto IT” mai prima d’ora può guadagnare un ruolo di primo piano in azienda, facendo diventare il CED il motore dell’innovazione aziendale.

L’adozione del cloud è in crescita, rallentata solo dalla necessità di salvaguardare investimenti pregressi e dalla vecchia abitudine italiana di aspettare che l’esperienza dei primi consolidi i processi a garanzia del successo.

Secondo quanto emerge dalla nostra inchiesta, la maggior parte di chi usa il cloud lo fa con attenzione: il punteggio più alto per le priorità viene infatti assegnato alla sicurezza, con un 2,9 rispetto a massimo di 3, o, quantomeno alla sensazione di sicurezza che il cloud provider scelto è riuscito a trasmettere. Al secondo posto, ma quasi a pari merito c’è il costo, che arriva a 1,92, appena sopra all’1,85 assegnato alle prestazioni.

Non abbiamo approfondito le ragioni di questo voto, anche se la senzazione è che il cloud oggi viva principalmente di servizi storage ed è ovvia la preoccupazione per la sicurezza dei dati, mentre le prestazioni vengono fatidicamente accettate in funzione della banda a disposizione.

Altre inchieste della nostra redazione sono accessibili dalla nostra home page.

Non esitate a scrivere alla redazione (redazione@reportec.it) per suggerire temi per i prossimi sondaggi e per iscrivervi alle nostre survey.

Gaetano Di Blasio ha lavorato presso alcune delle principali riviste specializzate nell’ICT. Giornalista professionista, è iscritto all’ordine dei giornalisti della Lombardia ed è coautore di rapporti, studi e Survey nel settore dell’ICT. Laureato in Ingegneria.