Il nostro Paese sta finalmente investendo con decisione nel digitale, complice anche il PNRR. Dall’altro lato, gli attacchi cyber (soprattutto ransomware) sono in grande aumento. Queste due dimensioni dovrebbero sommarsi dando come risultato una forte crescita degli investimenti aziendali in ambito cybersecurity. Eppure non è così. Abbiamo quindi l’opinione di Paolo Lossa, Country Sales Director di CyberArk, in questa intervista per capire come mai in Italia la cultura della cybersecurity sembra faticare ad attecchire.
Intervista a Paolo Lossa di CyberArk: l’importanza della cultura di cybersecurity
CyberArk, unica azienda nei report 2022 di Gartner Magic Quadrant per PAM e Access Management, conosce bene l’importanza di garantire sicurezza e bloccare gli accessi indesiderati sulle reti aziendali. Ha quindi una visione privilegiata sul mondo della cybersecurity e su come le aziende di ogni dimensione si relazionino con questa necessità sempre maggiore. Abbiamo quindi chiesto al Country Sales Director, Paolo Lossa, di spiegarci come sta evolvendo la cultura della cybersecurity in Italia. Specie visto il focus sul digitale che tutte le aziende stanno vivendo negli ultimi anni.
Lossa ci spiega che “come sistema Paese spendiamo molto nel reparto IT rispetto al nostro Prodotto Interno Lordo: siamo il terzo Paese nell’area EMEA. Ma la percentuale di questi investimenti che arriva nel reparto cybersecurity risulta decisamente più basso”.
Qualcosa che ci rende meno competitivi rispetto al resto d’Europa e del mondo. “I Paesi con cui vorremmo paragonarci per mercato spendono più di noi con un rapporto relativo di 4 a 1”. E anche se la spesa di cybersecurity sta aumentando, non lo fa al ritmo che vorremmo. “Il trend di crescita è positivo, ma non eccezionale. Adesso abbiamo lo spending della Polonia, la Spagna già spende più di noi. A questo ritmo non riusciremo a recuperare la Francia o la Germania nei prossimi cinque o sei anni”.
Questo nonostante da noi le minacce non mancando. “Siamo al quarto o quinto posto al mondo per ransomware. E non siamo certo la quarta o quinta economia: gli hacker non ci scelgono per opportunità, ma perché investiamo meno in difesa”.
Segnali positivi di un cambiamento
Eppure, nonostante le aziende nel settore privato stiamo aumentando la spesa meno rapidamente del voluto, durante l’intervista Paolo Lossa ci riporta diversi segnali positivi. “Ci sono diverse iniziative interessanti in essere. L’entrata in vigore dell’ACN [Agenzia per la Cybersicurezza Nazionale] l’anno scorso è positiva. Anche perché adotta un approccio pratico, con 82 misure da adottare nel piano strategico per la cybersecurity 2022-2026. Alcune di queste misure parlando direttamente di cultura e sensibilità verso la cybersecurity”.
Inoltre Lossa ci spiega che “l’anno scorso tutti i massimi dirigenti a livello pubblico sono stati obbligati a seguire corsi di cybersecurity, per aumentare la sensibilità al tema”.
Qualcosa che secondo il Country Sales Director dovrebbe succedere anche nel privato e diventare una consuetudine, se vogliamo diventi parte della cultura aziendale. Lossa ci spiega che “dovremmo fare un lavoro importante partendo dal top management e poi a scendere, per aumentare la sensibilità. E poi dovremmo fare in modo che il CISO [Chief Information Security Office, ndr] rispondano direttamente al board aziendale. Qualcosa che succede solo nel 30% dei casi in Italia, mentre negli altri è solo una delle voci all’interno del reparto IT”.
Le aziende riparano i danni, non li prevengono
Una delle dichiarazioni di Paolo Lossa che più ci ha colpito durante l’intervista, è che “le aziende molto spesso investono in sicurezza solo dopo aver già subito un attacco“. Un riassunto efficace della differenza di spesa fra IT in generale e cybersecurity. “Abbiamo fatto diversi analisi che hanno mostrato alle aziende i rischi potenziali del proprio cloud, convincendole a proteggerlo nella maniera corretta. Ma quasi nessuno fa progetti che hanno la cybersecurity al centro fin dalle prime fasi. La digitalizzazione ha iniziato a correre, ma la cybersecurity fatica a starle dietro”.
Lossa ci spiega che questo è “un vero e proprio ‘debito’ di sicurezza. Cui le aziende rimediano a volte in maniera alternativa: stanno per esempio crescendo le assicurazioni cyber. Ma raramente vediamo approcci proattivi, se non in settori molto normati come il banking o quello sanitario. E molto spesso non è una questione di soldi, il budget IT cresce in tutte le aziende: è una questione di cultura e una mancanza di competenze in ambito di cybersecurity”.
Per la questione competenze ci sono sempre più iniziative, la stessa CyberArk ha per esempio una University per fornire formazione e certificazioni. Che diventano fondamentali in sempre più ambiti, anche per la questione GDPR e il trattamento dei dati, che aziende in ogni ambito devono proteggere.
Una cultura della cybersecurity per far crescere il Paese in sicurezza
Durante l’intervista, Lossa ci spiega che spesso le esigenze normative fanno da incentivo deciso per dare la giusta importanza alla sicurezza per le aziende. “Da quando le aziende devono gestire i dati dei clienti rispettando il GPDR c’è senza dubbio un’attenzione maggiore, molte più aziende chiedono il training per assicurarsi di trattare i dati in sicurezza. E la recentemente approvata normativa europea NIS 2 introduce diversi concetti che richiederanno più attenzione alla cybersecurity, anche per esempio nei software parte della supply chain”.
E oltre alle normative, ci sono gli incentivi: in primis il PNRR ma anche Horizon a livello europeo. Gli incentivi dovrebbero aumentare, ma senza la giusta cultura la cybersecruity rischia di passare ancora una volta in secondo piano. “Per raggiungere gli obiettivi digitali le aziende hanno bisogno di tre cose: tecnologia, competenze, cultura” spiega Lossa, sottolineando come gli investimenti non possono escludere il fattore umano.
Ma ci sono diversi fattori di resistenza. Per esempio, nel nostro Paese una grande fetta del fatturato la fanno le PMI, che spesso non hanno in organico persone competenti in materia di sicurezza informatica. Questo contribuisce al ritmo più lento della crescita degli investimenti in cybersecurity nel nostro Paese: senza qualcuno in azienda che spinga per la sicurezza, non diventa una priorità. Ma questo ha un impatto anche sullo sviluppo digitale del Paese: “molte aziende manifatturiere temono a digitalizzare l’ambiente produttivo perché non si sentono sicure di farlo”.
Diventa quindi necessario un investimento in cultura e competenza. Sia a livello aziendale che nella cultura di massa. “Bisogna partire dalla scuola. Ma si stanno facendo passi nella giusta direzione: oggi già in terza o quarta elementare iniziano a introdurre le prime nozioni di cybersecurity”. Non possiamo aspettare che i bambini delle primarie crescano per investire in questo settore, ma certo è una notizia confortante.
Con un aumento degli incentivi e delle normative in ambito di cybersecurity, il focus sulla sicurezza sta crescendo. Sperando che porti a un cambio di passo tanto tecnologico quanto culturale.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🔝LinkedIn pubblica il report Top Companies Italia 2024: al primo posto Intesa Sanpaolo
🍪Il futuro della privacy online: Google dice addio ai cookie di terze parti
🪪Parliamo di SASE: intervista a Aldo Di Mattia di Fortinet
💡AMD e i data center energeticamente sostenibili. Intervista ad Alexander Troshin
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
