CyberArk, i CISO italiani ammettono il cybersecurity debt
Attraverso un’indagine a livello globale, CyberArk ha riscontrato che il 72% dei CISO italiani ritiene di “essere indietro” rispetto alle possibili sfide di sicurezza.
L’Italia è il terzo paese dal punto di vista della spesa IT Europa ma è al settimo dal punto di vista di cybersecurity spending. “La relazione tra la nostra spesa IT e la spesa in cybersecurity, che è circa 1,7 miliardi, è quattro volte inferiore rispetto a quella dei nostri colleghi all’estero”, afferma Paolo Lossa, Country Sales Director della filiale italiana di CyberArk. Tuttavia, secondo un’indagine condotta worldwide dall’azienda, la priorità delle business operation rispetto agli investimenti in cybersecurity che nel mondo è del 75%, in Italia, secondo i CISO intervistati, è del 72%, quindi in linea con la media mondiale.
Nell’indagine condotta da CyberArk, il 72% dei CISO italiani intervistati ha affermato però di ritenere ancora oggi di essere indietro in termini di sicurezza rispetto alle sfide che potrebbero dover affrontare. È quello che CyberArk definisce il debito in cybersecurity (cybersecurity debt). Questo significa che la grande maggioranza delle aziende che sta puntando alla digital transformation lo sta facendo “senza aver definito una cybersecurity by design e quindi si trova indietro” sottolinea Lossa –. Ma con i fondi del PNRR, che renderà disponibili 620 milioni di euro entro il 2025, i CISO ammettono che non ci sono più scuse. Così ci aspettiamo un grosso impulso in termini di investimenti”.
Lossa aggiunge: “Finalmente c’è un riconoscimento attivo positivo da parte del mercato di dover agire in maniera proattiva e non solo dopo un attacco. Dato che una così alta percentuale di CISO ha cambiato mentalità, sembra sia finalmente in atto un importante cambio di paradigma: rispetto al passato, c’è la consapevolezza di essere vulnerabili e che quindi è necessario proteggersi”. E questo sia per chi predilige soluzioni on premise e sia invece per chi è più votato al cloud e al software as a service.
Conforme alle normative pubbliche
CyberArk, che non si dimostra affatto insensibile al fascino dei fondi stanziati dal PNRR, ha messo in atto una serie di iniziative per poter favorire sia le organizzazioni pubbliche sia le aziende private per allestire un’efficace protezione contro i possibili attacchi.
Sul versante pubblico, l’azienda sta lavorando sulle indicazioni fornite dall’agenzia cyber, che hanno portato a una normativa piuttosto stringente, ma le prospettive sono molto interessanti. “È stabilito – evidenzia Lossa – che le aziende che rientrano nel perimetro cibernetico nazionale debbano dotarsi in maniera mandatoria di tecnologie di sicurezza per il controllo dei privilegi come la multifactor autentication e single sign on e che debbano avere una strategia basata su una listi di privilegi”.
CyberArk sta poi lavorando per ottenere la certificazione per l’impiego presso la pubblica amministrazione dei prodotti SaaS. “Siamo in fase avanzata per alcuni sottosegmenti del nostro portfolio che dovrebbero entrare nel marketplace della Pubblica amministrazione. Stiamo poi lavorando assieme a diversi service provider per sviluppare anche un’offerta as a service di Privilege Access Management”.
Un anno fa l’agenzia cyber ha concentrato la sua attenzione anche sulla classificazione dei dati che prevede tre macroaree (critici, strategici e ordinari) il tutto pensando anche alla migrazione verso il cloud della PA da qui al 2025. Così c’è una serie di requisiti sui servizi Saas, garanzie sul tema Identity e i dati critici devono risiedere in Italia. “Per questo ci stiamo muovendo sul nostro servizio Saas, che sarà erogato da un datacenter AWS di Milano”, precisa Lossa.
Il problema della mancanza di skill
In ambio privato, CyberArk sta cercando di favorire l’adozione delle sue soluzioni principalmente aiutando le aziende a trovare il personale adatto a realizzare i progetti. Dall’indagine effettuata è, infatti, emersa evidente la difficoltà di individuare talenti e di riuscire ad assumerli. “L’identity security e il Privilege Access Management sono temi che per essere di successo devono prevedere una serie di attività legate ai processi aziendali – conclude Lossa –. Però, talvolta, il progetto si ferma perché non c’è chi è in grado di farsene carico, dal programma di blueprint fino al termine. Stiamo perciò lavorando per creare il numero più elevato possibile di Certified Delivery Expert di CyberArk, persone che non necessariamente devono risiedere presso il cliente, possono risiedere anche presso l’ecosistema di partner. Questo dovrebbe essere un ulteriore strumento per accelerare il percorso di adozione del tema di identity security”.
