La sfida di gestire, in maniera sicura, numerose identità e accessi a risorse e dati disponibili in misura crescente in Cloud e su Mobile, diventa parte integrante di quella più generale di proteggere gli asset ICT. Come conferma un recente studio della Banca d’Italia, nel 2016 circa il 40% delle aziende ha subito un attacco informatico che, quando significativo, ha avuto impatti diretti sul business, sulla perdita di clienti e in definitiva sull’immagine aziendale.
In questo scenario gli investimenti delle aziende in sicurezza, come rilevato in un’indagine campionaria condotta da NetConsulting cube su circa 150 aziende con più di 250 milioni di euro di fatturato (Fig. 15), si sono concentrati sull’aggiornamento degli strumenti per la protezione di reti e dati (Data Loss Prevention, Intrusion Detection e Prevention, Firewall), sul rafforzamento delle policy e sul ricorso ai servizi (Audit, Compliance, Risk & Vulnerability Assessment) che consentono di individuare le vulnerabilità dei sistemi e le azioni da intraprendere. In decisa crescita è anche la spesa per la messa in sicurezza di servizi Cloud e mobili e per la gestione sicura delle API, sempre più utilizzate per l’interfacciamento dei sistemi aziendali con i servizi e i sistemi di partner e terze parti. Questi fattori hanno determinato nel 2016 un incremento del 5,1% della spesa in sicurezza informatica, a 1.357 milioni di euro. In questo segmento si registra la decisa crescita della componente di Cybersecurity più evoluta (managed serviced, Cloud security, next generation firewall, consulenze a supporto alla trasformazione), che ha registrato una dinamica superiore all’11%. Tra i fattori che vanno a impattare sulle strategie e sulle evoluzioni in ambito sicurezza delle aziende non vi è però solo il timore degli attacchi esterni (o interni). Ci sono anche le normative, tra cui il Nuovo Regolamento Europeo (GDPR) che, con entrata in vigore a maggio 2018, renderà obbligatoria la gestione le e tracciabilità delle identità digitali per le aziende di tutti i settori, affermando:
- il diritto alla portabilità dei dati (trasferimento da un titolare del trattamento a un altro);
- il diritto all’oblio (cancellazione dei propri dati personali anche online, da parte del titolare del trattamento);
- il diritto del cliente/utente di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati sui suoi dati e di esercitare un controllo sugli stessi;
- il diritto di essere informato sulle violazioni dei propri dati personali (data breach) entro 72 ore dall’avvenuta violazione.