Secondo l’ultima Worldwide Security Spending Guide di IDC, la spesa mondiale per le soluzioni di sicurezza dovrebbe raggiungere i 219 miliardi di dollari nel 2023, con un aumento del 12,1% rispetto al 2022. Stando alle previsioni, in Europa gli investimenti in hardware, software e servizi legati alla sicurezza informatica continueranno a registrare una crescita a due cifre anche nel prossimo triennio, spinti dalla continua minaccia di attacchi informatici, dalle esigenze di sicurezza degli ambienti di lavoro ibrido e dalla necessità di soddisfare i requisiti di privacy e governance dei dati.
Fig. 1 – Security budget: Le aspettative dei CISO
Nonostante le imprese si trovino ad affrontare difficoltà economiche globali, come l’inflazione, la recessione, i licenziamenti e i timori di un diffuso rallentamento economico, la spesa per la sicurezza informatica rimane solida: in media è aumentata nel 2022 e la maggior parte dei leader della sicurezza informatica prevede ulteriori aumenti fino al 2023 (Fonte: Gartner).
Tuttavia, nonostante le intenzioni di spesa, anche i dipartimenti IT delle organizzazioni più attente alla sicurezza sono stati chiamati negli ultimi mesi a fare i conti con la situazione economica globale. Gartner avverte che la crescente inflazione e lo spettro della recessione potrebbero indurre le aziende a tagliare i budget per la cybersecurity. I Chief Information Security Officer (CISO) sono chiamati a un delicato equilibrio: devono garantire una difesa efficace dell’organizzazione da minacce sempre più sofisticate, dimostrando al contempo che la spesa destinata alla sicurezza contribuisce al raggiungimento degli obiettivi aziendali.
Una corretta gestione del security budget diventa fondamentale. Operare tagli alle spese nelle aree sbagliate può infatti avere l’effetto di indebolire i controlli, aumentando il rischio di attacco e di conseguenza i costi da sostenere per ripristinare l’attività. Soprattutto quando si interviene su sistemi digitali fortemente interconnessi, ogni cambiamento va ponderato. Ecco perché, anche in tempi di incertezza economica, Accenture suggerisce di gestire il budget per la sicurezza secondo un attento ordine di priorità.
Razionalizzare gli strumenti di cybersecurity utilizzati dall’azienda può consentire di risparmiare sui costi senza eliminare i controlli informatici. Capita infatti in tutte le organizzazioni che, con il passare del tempo e l’evolversi delle tecnologie, si assista a un proliferare di diverse soluzioni le cui funzionalità sono spesso sovrapponibili.
Tra l’altro, dotarsi di un numero elevato di strumenti di sicurezza non significa incrementarne l’efficacia, anzi: più sono i dispositivi, più aumentano gli alert, più difficile sarà per gli analisti individuare i reali pericoli. Eliminare la ridondanza degli strumenti di cybersecurity, razionalizzando e rafforzando il proprio arsenale di tecnologie, può rappresentare un’opportunità di risparmio, consentendo di intervenire su costi che non hanno necessariamente un impatto sulla riduzione dei livelli di sicurezza e controllo.
Per mitigare il problema del bilanciamento tra la spesa e l’efficienza delle misure di rilevamento e risposta agli attacchi, una soluzione sempre più praticata è quella di esternalizzare la gestione della sicurezza affidandosi a un partner esperto di cybersecurity. Non è un caso che il mercato dei Managed Security Services sia in forte espansione: sempre Gartner calcola che entro il 2025 il 60% delle organizzazioni si avvarrà delle capacità di interruzione e contenimento delle minacce da remoto offerte dai fornitori di servizi di Managed Detection and Response.
L’outsourcing della cybersecurity può aiutare, inoltre, a superare le difficoltà di reperimento di figure professionali specializzate, mitigando così anche i problemi di rendimento dei security operation center interni, ormai perennemente sotto organico e pressati dal crescente carico di lavoro.
In tempi di incertezza economica, può essere vantaggioso ragionare sul lungo periodo. Ecco perché è bene dare priorità alle iniziative e agli investimenti di trasformazione digitale a lungo termine, che tengano conto degli aspetti di sicurezza sin dalle fasi iniziali di progettazione. Un esame precoce delle implicazioni in termini di cybersecurity può infatti avere effetti positivi in termini di risparmio dei costi, visto che implementare controlli di sicurezza a posteriori costa di più che integrare la valutazione del rischio informatico direttamente all’interno del progetto. Dare la priorità alla cybersecurity fin dalle prime fasi di un progetto di trasformazione digitale significa migliorare l’efficacia del progetto stesso e ridurne anche i costi.