Qual è il livello della maturità delle aziende nei confronti della security? Purtroppo, ancora troppo basso, secondo quanto emerge dal Cisco Cybersecurity Readiness Index 2023. Il report è frutto di una ricerca commissionata a una realtà indipendente che ha riguardato le aziende private di 27 aree geografie (Italia inclusa) e ha coinvolto 6.700 persone che lavorano nell’ambito della security.
La ricerca ha preso in esame 5 domini di sicurezza: verifica dell’identità, dispositivi, sicurezza della rete, workload delle applicazioni e dati. Ciascuno di tali domini comprendeva 19 diverse soluzioni. “Si tratta dei 5 pillar fondamentali dell’approccio zero trust network access – ha sottolineato Andrea Castellano, cybersecurity leader Cisco Italia – tema su cui è in atto un acceso dibattito per le finalità di adozione, soprattutto nelle grandi realtà e nelle infrastrutture critiche”.
Al termine dell’indagine le aziende sono state classificate secondo quattro gradi di preparazione: principiante, in fase di formazione, competente e maturo.
La maturità in cybersecurity a livello globale
A livello globale, le aziende che si dichiarano mature sono il 15%, il 29,8% quelle competenti, il 46,9% ancora in fase di formazione e l’8,3% principianti.
In generale, per tutti e 5 i domini di indagine il livello competente è piuttosto costante (dal 25% al 30%), cala solo nei device (12,6%), dove però si ha un’elevata maturità (31,5%). Il massimo della maturità lo si ha nella verifica dell’identità (42,8%), ambito su cui attualmente si stanno concentrando molti sforzi di cybersecurity perché sempre più spesso sfruttato dai cybercriminali. Mentre la minima maturità la si registra nel workload delle applicazioni (11,6%). “C’è un basso livello di maturità – ha precisato Castellano – perché le applicazioni sono molto attente alla parte business ma c’è poca sensibilità sulla parte security. Quello del ciclo di sviluppo sicuro del codice è un tema a cui si dovrà prestare grande attenzione nei prossimi anni. Secondo IDC, da qui al 2025 ci saranno 750 milioni di nuove applicazioni. E tutte dovranno essere opportunamente protette”.
Stupisce un po’ anche l’oltre 56% tra realtà principianti e in fase di formazione sulla sicurezza delle reti, dove invece ci si aspetterebbe un elevato livello di maturità.
Cybersecurity: l’Italia ancora troppo indietro
Nel panel degli intervistati, la rappresentanza italiana era di 200 persone. Di queste, circa il 40% ricopre un ruolo totalmente dedicato alla cybersecurity e nel 47% dei casi in aziende con meno di 250 dipendenti.
Tra gli italiani, solo il 7% dichiara di avere una postura di sicurezza matura, mentre l’8% si trova ancora nella fase principiante e il 61% in quella di formazione. I competenti sono il 24%.
“Sta emergendo una maggiore sensibilità e consapevolezza sul tema della cybersecurity come rischio presso il top management e il board – ha sostenuto Castellano – e il 94% delle organizzazioni italiane sta pianificando investimenti in upgrade o evoluzioni sulle infrastrutture It”. In questo un ruolo importante lo gioca di sicuro il fatto che il 68% degli intervistati ritiene che l’accesso da remoto come parte del lavoro ibrido abbia aumentato i rischi di cybersecurity per l’organizzazione (a livello globale è l’84%).
Un ulteriore elemento positivo è che l’87% degli intervistati dichiara un incremento del 10% nel budget da investire in soluzioni e servizi di sicurezza. “Purtroppo, però, complessivamente gli investimenti globali in cybersecurity sono ancora più piccoli di 2-3 ordini di grandezza rispetto alle altre strutture Emea o degli Stati Uniti”, ha commentato Castellano.
Un problema sentito dal 23% degli intervistati è lo skill shortage. “In Italia i laureati coprono il 20% di richieste di skill per ruoli di più alto livello – ha sottolineato Fabio Florio, BDM & Innovation Center Leader di Cisco –. Ma c’è un 80% che riguarda le operation che rimane scoperto. Per questo Cisco ha creato la nuova certificazione Certified Support Technician sia per la cybersecurity sia per il networking, che intende fornire competenze entry level ai non laureati”.