Cosa pensano le aziende dei Managed Security Service Provider?

Ecco quali sono i pro e i contro degli MSP.

Cosa succede se i sistemi di sicurezza di un’azienda vanno fuori uso e l’azienda non ha a disposizione internamente gli esperti in grado di risolvere il problema? Il panorama delle minacce informatiche è in costante evoluzione, per cui si tratta di una eventualità piuttosto probabile. Ogni giorno sentiamo in TV e sui giornali di fughe di dati, attacchi ransomware e minacce avanzate subiti da imprese di alto profilo; per questo le aziende devono assicurarsi di non diventare le prossime vittime.

Cosa fare? Una soluzione potrebbe essere quella di rivolgersi a un provider di servizi per la sicurezza (detto anche Managed Security Service Provider, MSSP), che si occupi di vigilare il più possibile sulla sicurezza IT dell’azienda.

Le aziende stanno recipiendo il messaggio: il 68% delle imprese comprende ora l’importanza di questo servizio, mentre l’anno scorso la percentuale era del 56%. Inoltre,  lo scorso anno il 42% delle piccole e medie imprese si è avvalso degli MSP e, se guardiamo le grandi imprese, la percentuale sale al 51%. Queste aziende hanno compreso che un MSSP in molti casi rappresenta la soluzione più ovvia alle necessità di un’azienda in fatto di sicurezza. Tuttavia, se guardiamo questi dati dal punto di vista opposto, ci rendiamo conto che ci sono ancora tante aziende che invece non hanno ancora affrontato tale importante questione.

Dando un’occhiata ai dati emersi dall’ultimo sondaggio annuale IT Security Risk condotto da Kaspersky Lab, emerge una realtà preoccupante per il mercato degli MSSP: solo il 25% delle aziende ha intenzione di avvalersi degli MSSP nel 2018 per far fronte alle nuove sfide delle sicurezza IT, e ciò vuol dire che bisogna persuadere ancora tante aziende circa i vantaggi di lavorare con i fornitori di tali importanti servizi.

Ovviamente, le aziende devono conoscere quali sono i pro e i contro, oltre a capire quale soluzione sia la più appropriata (ed efficace) per il proprio business. Dall’altro lato, gli MSSP devono cercare di convincere le imprese che le soluzioni offerte sono quelle adeguate e, per fare ciò, devono essere al corrente delle minacce alla sicurezza che tali aziende affrontano quotidianamente.

Sembra opportuno, quindi, analizzare la situazione facendo una differenza tra piccole e medie imprese da un lato, e grandi compagnie dall’altro e capire quali sono i pro e i contro degli MSSP per entrambe le categorie.

Perché le aziende diffidano degli MSSP?

Le aziende di solito indicano quattro aspetti “negativi” degli MSSP. Innanzitutto i costi, che il 29% delle aziende considera eccessivi. Soprattutto per le piccole e medie imprese: il 39%, infatti, trova difficile giustificare un budget così elevato da dedicare alla sicurezza e, di conseguenza, risulta complicato trovare i fondi necessari. In realtà sono proprio queste aziende ad avere maggiormente bisogno di tali servizi: le piccole e medie imprese spesso si concentrano di più sulla crescita del proprio business e meno nel formare il proprio staff interno su tematiche riguardanti la sicurezza informatica. Inoltre, alcune aziende pensano erroneamente di non essere un obiettivo per i cybercriminali.

E se l’ignoranza porta alla felicità, la situazione si ribalta quando viene hackerato, ad esempio, il database dei clienti, momento che comporta perdite a livello economico e di clientela.  Un allarmante 19% delle grandi aziende e un 25% delle PMI pensa di non essere una potenziale vittima di un attacco informatico. Le aziende più piccole e di recente creazione pensano di passare inosservate visto che ci sono obiettivi più grandi in circolazione; tuttavia, in caso di attacco, sono proprio le aziende più piccole o più recenti a subire un danno maggiore in termini di perdite economiche. Se si ignorano o si sottovalutano i rischi, i proprietari o i manager di queste aziende, legati emotivamente al proprio business per ovvie ragioni o che hanno budget minori rispetto ai propri competitor, mettono in serio pericolo la propria azienda, che potrebbe non risollevarsi più.

Le aziende che conoscono, invece, i rischi di un attacco informatico, sia per sé sia per i clienti, sono più propense ad assumere certi costi; tuttavia, per alcune di loro potrebbe esserci un problema di fiducia (parliamo del 32% delle PMI e del 35% delle grandi aziende), che sono restie a concedere a provider esterni l’accesso ai propri sistemi. Ciò non deve sorprendere, obiettivamente le compagnie esterne, per fare il proprio lavoro, devono avere necessariamente accesso a un gran volume di informazioni: dati personali, segreti aziendali, informazioni di pagamento… è normale che le aziende debbano sentirsi completamente a proprio agio per riuscire a consegnare a un provider esterno le chiavi del proprio regno.

Tale prudenza dipende dall’eventualità che anche un MSSP possa a sua volta essere esposto a vulnerabilità e fughe di dati. Un’eventualità che spaventa certamente!

Alcune aziende, poi, pensano di avere sufficienti mezzi a livello interno per far fronte a determinate situazioni di rischio. Il 13% delle PMI e il 37% delle grandi compagnie pensa di disporre già delle risorse necessarie per colmare il gap di sicurezza informatica in azienda. Tuttavia, non si tratta di una soluzione a lungo termine: i professionisti della sicurezza IT sono molto ricercati e potrebbero cedere alla tentazione di migliori condizioni offerte da altre aziende e lasciare l’azienda dall’oggi al domani. Un servizio MSSP, invece, deve rispettare il contratto stipulato e si impegna a soddisfare le necessità di sicurezza informatica dell’azienda.

Cosa possano apportare gli MSSP

Dopo aver parlato dei contro, sono invece tanti i pro che gli MSSP offrono a un’azienda che voglia seguire gli adeguati standard di sicurezza IT.

Il primo e forse più importante beneficio per le aziende si riflette sul budget. La maggior parte delle aziende (il 54% delle grandi aziende e il 51% delle PMI) concorda nel fatto che una collaborazione con un MSSP comporti un taglio dei costi collegati alla sicurezza informatica. Le aziende che spendono molte risorse a livello di tempo e denaro nell’assumere staff interno, nel seguire rigorose misure di protezione o nel formare il resto del personale in materia di sicurezza (tutti costi che aumentano man mano che si assumono nuove persone), quando si avvalgono di un MSSP possono sperimentare una riduzione importanti di tali costi. Le aziende, invece di considerare la sicurezza IT come un voce di uscita del proprio budget, possono vederla come un progetto in più da portare avanti, i cui investimenti servono per prevenire situazioni che potrebbero mettere in serio pericolo le sue fondamenta e i programmi di crescita futuri.

Per le aziende che si preoccupano della robustezza della propria sicurezza IT, un accordo sul livello del servizio (SLA) potrebbe essere una buona rete di protezione. Le aziende desiderano fortemente affidarsi a esperti: il 42% delle PMI e il 43% delle grandi aziende vuole essere sicura che le componenti nevralgiche del proprio business siano gestite da un provider esterno che garantisca loro una certa tranquillità.

Inoltre, l’esternalizzazione può portare a un cambio di vedute che influirà positivamente su altri settori informatici dell’azienda. Tutte le risorse IT che si gesticono in-house potrebbero passare man mano a provider esterni, razionalizzando i costi generali dell’intero business. Il 35% delle PMI e il 41% delle grandi aziende coinvolte nel nostro studio, di fatto, ha già intenzione di esternalizzare tutti i propri servizi IT, sicurezza compresa.

Il vantaggio più ovvio di un MSSP, in ogni caso, resta la possibilità di colmare il gap di sicurezza IT dell’azienda. Il nostro studio rivela che il 25% delle grandi aziende e il 28% delle PMI ammette di non disporre di sufficienti risorse a livello interno e dell’adeguata esperienza per gestire un compito così importante. Tali lacune rendono vulnerabile l’intero business e affidarsi a un provider esterno può assicurare una copertura adeguata.

In medio stat virtus

Per un’azienda è difficile valutare i pro e i contro di tale decisione, soprattutto quando in gioco ci sono sistemi critici e informazioni sensibili. Gli MSSP possono e devono dare loro una mano, comprendendo quali sono le preoccupazioni dei clienti per il futuro e apportando soluzioni. In questo modo saranno in grado di convincere sempre più aziende dei vantaggi di affidarsi a un MSSP, per evitare che abbiamo seri problemi di sicurezza nel futuro.

Per aiutare gli MSSP in questa importante missione, Kaspersky Lab ha sviluppato un MSP Partner Program dedicato, che aiuta i Managed Service Security Provider ad aumentare le vendite, ridurre i costi e a raggiungere sempre più potenziali clienti.

Il nostro portfolio di sicurezza per MSSP include strumenti potenti e flessibili per monitorare e gestire le infrastrutture dei clienti, offrendo maggiore visibilità sia agli stessi MSSP sia ai loro clienti. Grazie alle tecnologie, alla formazione e al supporto tecnico offerto, aiutiamo gli MSSP a diventare un punto di riferimento e una scialuppa per i loro clienti.

Infine, possiamo aiutare gli MSP e gli MSSP a capire quali sono i loro punti deboli in modo da perfezionarsi costantemente e risolvere eventuali situazioni difficili nella relazione con i propri clienti.

Consigli