In che modo la carenza di competenze di sicurezza informatica influisce sulla tua attività

Pubblicato: 2021-05-13

La carenza di competenze tecnologiche non è una novità, ma l'impatto che sta avendo sulle aziende di tutte le dimensioni non è mai stato così chiaro.

La necessità che anche le piccole organizzazioni oggi abbiano un solido stack tecnologico per i loro processi aziendali e uno stack di sicurezza sicuro per i loro dati e informazioni significa che gli effetti della carenza di competenze di sicurezza informatica stanno colpendo le PMI con più frequenza che mai.

In breve, tutti hanno bisogno di competenze in materia di sicurezza tecnologica, ma tale è la richiesta che molte aziende semplicemente non possono permetterselo per tutte le loro esigenze.

La carenza di competenze prima della pandemia

La carenza di competenze nel settore tecnologico è in aumento da diversi anni: devi solo tornare al 2017 per vedere come si sentivano le aziende riguardo alla situazione, con tre quarti delle organizzazioni che all'epoca non vedevano alcun cambiamento o un peggioramento del divario di competenze in tecnologia (vedi grafico sotto).

Ciò ha rappresentato un ostacolo principale per molte aziende nell'assunzione di candidati per le loro esigenze tecnologiche e IT.

Divario di competenze tecniche come riportato dalle imprese | In che modo la carenza di competenze tecnologiche influisce sulla tua attività

Cambiamenti dalla pandemia

Molti dei cambiamenti nel modo in cui le organizzazioni affrontano argomenti come la maturità tecnologica e la sicurezza informatica sono stati anticipati dalla pandemia e hanno esacerbato i problemi esistenti che in ogni caso stavano influenzando la carenza di talenti.

Durante il 2020, quando i blocchi si sono diffusi, le aziende prive della tecnologia necessaria, ad esempio, per fornire le risorse appropriate per una forza lavoro completamente remota, hanno dovuto spostarsi rapidamente e adottare il talento e le soluzioni per farlo.

Ciò ha interessato praticamente ogni linea di business, sia che si tratti di vendite, marketing, sviluppo di prodotti/servizi: ogni aspetto dei processi aziendali ha improvvisamente avuto bisogno di una capacità tecnologica di base per rimanere efficace nelle proprie operazioni.

Webinar correlato: Superare la carenza di talenti | Requisiti aziendali moderni

Considerazioni sulle soluzioni tecnologiche

È stato durante questo periodo che molte aziende hanno esaminato ciò che devono tagliare per rimanere solvibili, ma anche ciò in cui devono investire per lo stesso motivo: non ha molto senso ridurre la spesa per mantenere a galla un'azienda se deve subire un costo dei dati violare e subire danni finanziari peggiori nell'eventualità.

Allora, dove sono diretti questi investimenti? Se diamo un'occhiata ai dati di Microsoft di agosto 2020, possiamo vedere che i primi cinque investimenti dall'inizio della pandemia per quanto riguarda la sicurezza sono:

  1. Autenticazione a più fattori (MFA) – 20%
  2. Protezioni dei dispositivi endpoint – 17%
  3. Strumenti anti-phishing – 16%
  4. VPN – 14%
  5. Formazione sulla sicurezza dell'utente finale – 12%

Molte di queste soluzioni, in particolare la protezione degli endpoint, le VPN e altri strumenti di sicurezza, richiedono l'esperienza di un professionista della sicurezza informatica per mantenerle.

Prendi la protezione degli endpoint, ad esempio. È normale che un membro del personale della sicurezza informatica gestisca la protezione degli endpoint tramite una piattaforma cloud, come Cisco Meraki (che Impact utilizza con i client).

Il provisioning, la protezione e la manutenzione dei dispositivi, in particolare con la forza lavoro distribuita su più uffici o che non operano su un'unica rete, non è facile e richiede una sorta di supervisione.

Quando si tiene conto di tutti gli altri aspetti della sicurezza delle informazioni e dell'azienda, come ad esempio la conformità, non è difficile capire perché l'assunzione di personale addetto alla sicurezza oltre al personale IT esistente non è fattibile per molte organizzazioni.

Chi sta assumendo?

La maggior parte delle aziende è consapevole di dover aumentare le proprie spese per la sicurezza informatica, e in effetti molte di loro lo stanno facendo, spesso a spese dei loro budget IT più ampi.

Kaspersky segnala che mentre i budget IT sono rimasti stagnanti tra il 2018 e il 2020, i budget per la sicurezza sono generalmente aumentati nell'intervallo dell'11-15%, indicando una chiara propensione a favorire le iniziative di sicurezza rispetto ai progetti IT, anche se a scapito dell'IT in generale.

Il mercato totale della sicurezza informatica valeva 3,5 miliardi di dollari nel 2004. Nel 2017 è stato stimato a 120 miliardi di dollari e si prevede che entro il 2022 raggiungerà i 170 miliardi di dollari.

Come risultato di questo budget, la maggior parte delle PMI ha a che fare con un budget per la sicurezza informatica di circa $ 275.000, rispetto a circa $ 14 milioni per le aziende.

Ciò a cui si aggiunge questo è un compito quasi impossibile per le organizzazioni di piccole e medie dimensioni.

Considera alcune posizioni di sicurezza informatica e i loro stipendi medi:

  • Responsabile della sicurezza delle informazioni: $ 125.000 – $ 215.000
  • Ingegnere della sicurezza informatica: $ 120.000 – $ 200.000
  • Ingegnere della sicurezza delle applicazioni: $ 120.000 - $ 180.000
  • Analista della sicurezza informatica: $ 90.000 – $ 160.000
  • Tester di penetrazione: $ 80.000 – $ 130.000
  • Ingegnere della sicurezza di rete: $ 125.000 – $ 185.000
  • Responsabile della conformità aziendale sanitaria: $ 120.000

Nell'ambiente attuale, le posizioni di sicurezza informatica sono molto richieste e comandano salari elevati, una barriera che è semplicemente troppo difficile da superare per molti.

Se prendiamo quel budget medio di circa $ 275.000 che molte aziende hanno per la loro sicurezza informatica, è evidente che si esaurirà molto rapidamente solo con il talento, senza pagare nemmeno un centesimo per le soluzioni tecnologiche.

Ciò ha portato le aziende a mostrare una riluttanza ad assumere nuovi dipendenti per la sicurezza informatica o addirittura un team di sicurezza: questo è in linea con le prenotazioni comunemente tenute, con circa il 54% dei leader aziendali preoccupato per la spesa del personale per la sicurezza informatica.

Tre persone che guardano lo spazio vuoto nel puzzle | In che modo la carenza di competenze tecnologiche influisce sulla tua attività

Come rispondono le aziende a questo?

Qui sono in gioco cose contraddittorie: le aziende devono bilanciare i propri budget spendendo di più per la sicurezza informatica per proteggersi.

La domanda per molti allora è la semplice domanda su cosa fare? Per molti, la risposta è stata affidare a terzi le proprie esigenze di sicurezza.

Un MSSP è un provider di servizi di sicurezza gestito. Il concetto non è diverso da qualsiasi altro servizio gestito: l'MSSP fornisce le risorse (tecnologiche e personale) e l'azienda cliente stipula un contratto di servizio con l'MSSP.

Gli MSSP di qualità offriranno un contratto mensile a tariffa fissa per i loro clienti, in modo che non vengano colpiti da fatture impreviste.

Il mercato dei servizi di sicurezza gestiti è cresciuto in modo significativo nel corso degli ultimi anni, da 32 miliardi di dollari nel 2020 a 46 miliardi di dollari previsti entro il 2025, un tasso di crescita annuale composto (CAGR) dell'8%.

L'assunzione di un MSSP per la sicurezza informatica consente all'azienda di trarre vantaggio dall'esperienza e dagli strumenti di cui dispone l'MSSP, senza spendere troppo, costruendo internamente un intero team di sicurezza informatica.

Naturalmente, un team interno conoscerà sempre meglio un'azienda, motivo per cui è importante che le aziende considerino quale tipo di MSSP è desiderabile per la loro particolare organizzazione: non tutti i fornitori di servizi sono creati allo stesso modo.

Articolo correlato: Quali servizi MSSP dovresti aspettarti dal tuo partner di sicurezza?

Linea di fondo

L'aumento del rischio che le aziende diventino vittime della criminalità informatica ha creato una forte domanda di professionisti e servizi di sicurezza informatica.

Ciò a sua volta ha esercitato pressioni sulle organizzazioni affinché trovassero spazio nei loro budget per accogliere un programma di sicurezza, ma per la maggior parte è semplicemente troppo difficile farlo.

Le aziende devono scegliere di ignorare la minaccia della criminalità informatica e seppellire la testa sotto la sabbia (cosa che stanno effettivamente facendo una quantità non trascurabile di aziende) o di trovare un altro modo per costruire una strategia di difesa.

Gli MSSP in alternativa offrono alle organizzazioni l'opportunità di investire nella propria sicurezza informatica pur rimanendo con un budget limitato, ed è una parte importante del motivo per cui il settore dei servizi di sicurezza gestiti è decollato alla grande negli ultimi anni.

Le aziende preoccupate per lo stato della loro difesa della sicurezza informatica dovrebbero essere realistiche riguardo alla minaccia della criminalità informatica ma anche realistiche riguardo al loro budget.

La carenza di sicurezza informatica, sebbene siano stati osservati miglioramenti nell'ultimo anno, rimane un problema per le aziende che assumono talenti della sicurezza e un problema che colpisce molte aziende che oggi cercano di proteggere i propri dati e processi.

Queste organizzazioni dovrebbero prendere in seria considerazione un fornitore di servizi di sicurezza gestito al fine di soddisfare le proprie esigenze con un budget limitato, poiché è improbabile che la carenza di competenze di sicurezza informatica si allevi nella misura necessaria per essere accessibile alle PMI in tempi brevi.

Scopri di più su cosa comporta una strategia di sicurezza informatica completa e su come un MSSP soddisfa tali esigenze nel nostro eBook, Cosa rende una buona difesa della sicurezza informatica per una PMI moderna?