Terzo studio di Idc sullo stato dei professionisti di security. Ormai è chiaro che per fare sicurezza non basta la tecnologia, ma ci vuole la consapevolezza del management.
Sono stati rilasciati i risultati del terzo studio mondiale annuale sulla forza lavoro nel settore della sicurezza informatica, condotto da Idc, e sponsorizzato da Isc, l’International Information Systems Security Certification Consortium, organizzazione globale no-profit che opera nell’insegnamento e nella certificazione dei professionisti della sicurezza (ne ha certificati più di 45mila in 120 paesi).
Per l’indagine sono stati sentiti 4.016 professionisti della sicurezza in più di 100 paesi.
Idc ha analizzato le risposte fornite da 4.016 professionisti della sicurezza informatica che lavorano a tempo pieno in oltre 100 paesi. Gli intervistati appartengono alle tre principali aree geoeconomiche: Nord e Sud America (57,3%), Europa, Medio Oriente, Africa, (22,8%) e Asia Pacifico (19,5%). Rappresentano organizzazioni appartenenti al settore pubblico e privato, operano in industrie verticali e sono in possesso di competenze e conoscenze chiave diverse. Di solito, gli intervistati hanno responsabilità nell’ambito degli acquisti, del reclutamento e/o del management.
Ne è emerso che gli elementi più importanti per tutelare l’infrastruttura della propria organizzazione sono, in ordine di importanza, il supporto del management alle politiche in materia di sicurezza, l’osservanza della politica in materia di sicurezza da parte degli utenti, la disponibilità di personale addetto alla sicurezza qualificato, le soluzioni software e, per ultime, quelle hardware.
Secondo i risultati dello studio, i tre principali fattori di successo evidenziano l’esigenza, per gli enti pubblici e privati, di dedicare maggiore tempo e attenzione alle politiche, procedure e persone, aree in precedenza trascurate, in quanto si tendeva a fare affidamento sulla tecnologia in se (software e hardware) per risolvere i problemi di sicurezza.
Gli intervistati hanno affermato che le organizzazioni iniziano ora a rendersi conto che la tecnologia è uno strumento, e non la soluzione per la sicurezza.
Dallo studio è anche emerso che più del 40 per cento dei budget destinati alla sicurezza informatica è speso in personale, istruzione e formazione, con un aumento di circa il 5% rispetto agli anni precedenti.
Il 45% degli intervistati dell’area Emea (che in totale erano 915 professionisti) ha affermato di voler aumentare questi budget di circa il 21%. Globalmente, il 39 per cento degli intervistati ha dichiarato di voler aumentare il budget di quasi un terzo.
Sulla base dei risultati dello studio Idc prevede che nel 2006 il numero globale dei professionisti della sicurezza informatica sia di 1,5 milioni, con un aumento dell’8% rispetto al 2005.
Si prevede che la cifra aumenterà a poco più di 2 milioni entro il 2010, con un tasso composto di crescita annua (Cagr) del 7,8 per cento dal 2005 al 2010. A titolo di paragone, le proiezioni di crescita nel numero globale di dipendenti It nello stesso arco di tempo sono del 4,6 per cento.
L’area Cemea (Europa centrale, Medio Oriente e l’Africa) è visto come un mercato emergente, per i professionisti della sicurezza informatica.
Per prossimi cinque anni, Idc prevede che il numero dei professionisti della sicurezza in Emea crescerà dagli attuali 348mila sfiorando il mezzo milione.
A livello globale, gli stipendi medi nell’area americana sono di 81mila dollari, pari a 64mila euro; in Emea sono di rispetto a 70mila dollari (55mila euro), con il picco di quasi 77mila euro nel Regno Unito, mentre i francesi mediamente ottengono 41mila e 500 euro e i tedeschi più di 49mila euro.
Secondo lo studio, la responsabilità dell’adozione di una solida strategia di sicurezza è sempre più condivisa all’interno dell’organizzazione, con i quadri dirigenti ora responsabili nell’ambito di un programma di gestione dei rischi ben definito e articolato.
Continuando una tendenza identificata dallo studio dello scorso anno, la responsabilità in materia di protezione delle risorse informatiche sta lentamente passando dalla figura del Chief Information Officer (Cio) ad altre aree dell’alta dirigenza e dell’azienda, coinvolgendo cariche quali il Chief Executive Officer (Ceo), il Chief Financial Officer (Cfo), il Chief Risk Officer (Cro) ed il Chief Information Security Officer (Ciso), come pure l’Ufficio legale e l’Ufficio Compliance.
Aree comuni di tecnologia della sicurezza adottate dalle organizzazioni in tutte le regioni geografiche sono la biometria, la sicurezza wireless, la prevenzione delle intrusioni e gli strumenti di computer forensic. La biometria è al primo o secondo posto tra le applicazioni più diffuse in tutte le regioni.
L’area della gestione dei rischi di sicurezza informatica è ai vertici delle priorità della formazione nelle americhe e in Emea ed è al secondo posto nell’Asia Pacifico.
Secondo l’analista la situazione rimarrà immutata per il futuro in quanto le aziende fanno fatica ad ottenere il controllo della loro gestione dei rischi, a sviluppare un contesto flessibile che le consenta di adattarsi ai nuovi fattori ambientali e ottenere una maggiore visibilità dei rischi.
Anche la business continuity e la computer forensic sono argomenti che interessano molto ai professionisti, i quali sentono di dover ampliare le proprie conoscenze e affinare le proprie competenze in materia.
Il 67% dei professionisti della sicurezza informatica ritiene che i propri sforzi sono serviti, nell’ultimo anno, a influenzare il management e le principali figure anziendali con opera di sensibilizzazione e con un richiamo a un maggiore senso di sicurezza e responsabilità. Per il 2007, poi il 73% ritiene di poter effettivamente introdurre un cambiamento all’interno della propria organizzazione.
L’85% dei direttori del personale ha continuato ad attribuire una grande importanza alle certificazioni in materia di sicurezza informatica come criterio per le assunzioni.
Infine, per sopperire alla limitatezza delle risorse e delle capacità interne, le organizzazioni si avvalgono di aziende di servizi esterne capaci di attrarre professionisti della sicurezza informatica qualificati.