Daniela Corsaro Università Cattolica del Sacro Cuore di Milano Dinamiche di cambiamento nel mercato della sicurezza IT: il caso DI.GI. Daniela Corsaro Università Cattolica del Sacro Cuore di Milano III Convegno annuale Società Italiana di Marketing – Parma, 24-25 novembre 2006
Obiettivi e motivazioni di base Indagare, in chiave esplorativa, i cambiamenti in atto nel mercato delle tecnologie di sicurezza informatica, e in particolare: I comportamenti delle imprese clienti Le strategie delle imprese fornitrici attuate al fine di ottenere un trasferimento tecnologico di successo Obiettivo del presente studio è quello di indagare secondo un approccio esplorativo, i cambiamenti nel mercato delle tecnologie di sicurezza informatica sia sotto il profilo Le ricerche di mercato in questo particolare settore sono a oggi piuttosto limitate e tendono a concentrarsi su alcune tematiche particolari: gli aspetti tecnico-normativi, il settore come business nascente (Giarratana, 2004) e le modalità di scelta e commercializzazione delle relative innovazioni (Gambardella e Giarratana, 2006). In una prospettiva più ampia si possono poi anche considerare le scelte e gli studi relativi al settore del software (Torrisi, 2004) che rappresenta, tuttavia, solo una componente dell’offerta di sicurezza. Contesto scarsamente studiato in una prospettiva di marketing Settore in forte sviluppo e una problematica di crescente rilevanza
Framework teorico di riferimento Trasferimento di tecnologia Prospettiva communication based (Williams e Gibson, 1990) Due elementi da considerare: il mercato di riferimento dell’impresa e il grado di codificabilità della stessa tecnologia (Cesaroni, 2005) Il marketing del trasferimento di tecnologia Si enfatizza: l’abilità dell’impresa offerente di cogliere i bisogni non articolati e interpretare quelli emergenti (Buratti, 2005) l’effettiva capacità dell’impresa cliente di assorbire la conoscenza tecnologica che si intende trasferire (Cohen e Levinthal, 1990) Per quanto concerne il framework teorico in particolare si evidenzia un limite in cui spesso si incorre trattando le tematiche legate al trasferimento tecnologico è la tendenza a far riferimento solo alla conoscenza scientifica e tecnologia oggetto del processo, tralasciando aspetti indispensabili legati alla creazione di relazioni con i propri partner. La prospettiva che si adotta in tal senso è di tipo communication based, secondo cui per effettuare un trasferimento tecnologico di successo è necessario superare molte barriere legate agli aspetti di comunicazione: differenti linguaggi, motivazioni, stili, culture, incentivi, ecc. Tale approccio fa quindi emergere l’importanza della relazioni : il trasferimento viene visto come un processo continuativo e interattivo, se non in certi casi persino caotico e dove hanno un ruolo importante la percezione degli attori circa la tecnologia, il suo valore e il suo uso potenziale. I feedback reciproci aiutano a convergere circa le dimensioni importanti. Infine si ritiene opportuno introdurre una puntualizzazione, indicata da Cesaroni (2005), secondo cui le strategie di trasferimento non possono prescindere dal considerare due fattori: il mercato di riferimento dell’impresa, legato alla possibilità di trasferire una tecnologia o conoscenza tecnologica ad un certo numero di clienti (o anche ad uno solo) senza necessità di effettuarvi modifiche sostanziali, e il grado di codificabilità della stessa, che si traduce invece nell’opportunità di ridurre la componente tacita in essa incorporata, ovvero la parte più difficile da trasferire. Maggiore sarà la codificabilità (es.: brevetti, licenze, ecc.) minore sarà l’interazione necessaria tra le parti e maggiore l’utilizzo di forme contrattuali. In una prospettiva di marketing si sottolinea poi l’importanza della capacità dell’impresa di cogliere i bisogni anche quando non manifesti, immaginando e creando corrispondenze con le opportunità tecnologiche individuate dal mercato ma, al contempo, oltre che il marketing non può prescindere dal considerare la reale capacità dell’impresa di assorbire le conoscenze che poi si vuole trasferire.
Mercato e settore La possibilità di brevettare il crypto-algorithm, porta alla creazione di (Gambardella e Giarratana, 2006): un mercato del prodotto; un mercato della tecnologia. Non vi è solo il settore dei Security Softwares, ma anche dei Security Software Support Services. Nel contesto di sicurezza informatica esiste: - un mercato della tecnologia, dove l’algoritmo rappresenta la conoscenza con scopo “generico”(Bresnahan e Tajtenberg, 1995) che può essere applicata a differenti software e soluzioni (non ancora impegate in un contesto applicativo concreto; - un mercato del prodotto, quindi del software che incorpora l’algoritmo. Lo studio si focalizza solo su questa seconda componente dato il ritardo tecnologico dell’Italia in termini di sviluppo di conoscenze tecnologiche di sicurezza . Inoltre è necessario considerare come i Security Software Support Services, ricoprano una componente crescente del business di sicurezza tra cui abbiamo servizi professiosali (vulnerability assessment- risk analysis), di sicurezza gestita (managed security) e volti a garantire la continuità delle infrastrutture it e della operatività aziendale (disaster recovery-business continuity). Gli attori che rappresentano l’offerta sono fondamentalmente i vendor, ovvero gli sviluppatori di tecnologia, i distributori di singole soluzioni e i system integrator che integrano appunto più componenti tecnologiche,che può consistere in una componente hardware, software che di servizio. in modo da offrire al cliente una soluzione finale funzionante.
Metodologia di ricerca – indagine esplorativa Case study di DI.GI. International, un system integrator, attraverso interviste in profondità al management aziendale, al responsabile della funzione marketing e ai reparti commerciali. Interviste in profondità a 13 imprese operanti nel settore bancario, assicurativo e dei servizi interbancari, di dimensione medio-grande, di cui 10 clienti di DI.GI. Interviste a 3 esperti di settore: un ricercatore, un consulente e un ex- hacker. Dati secondari raccolti da istituti di ricerca (IDC) e documentazione interna aziendale. Si tratta di un’ INDAGINE ESPLORATIVA, in una fase iniziale. La metodologia include il case study di DI.GI international che è una software house di medie dimensioni (50 dipendenti e 20 consulenti) che si propone al mercato come system integrator attraverso una piccola divisione di sicurezza (appunto DI.GI. Security). Pur essendo una divisione piccola ha guadagnato in breve tempo un ottima reputazione sul mercato, grazie alla sua capacità di creare relazioni anche a livello internationale e utilizzare la rete per esplorare nuova conoscenza e individuare le soluzioni che andranno poi a soddisfare i clienti nazionali. Questo ha fatto sì che diventasse partner strategico di importanti vendor israeliani. Perché un system integrator? Perchè nel mercato della sicurezza, tali attori giocano un ruolo primario: sono gli intermediari nel trasferimento di tecnologia al cliente e, come tali, possono sia elevare la qualità del prodotto e del servizio, che costituire un collo di bottiglia tra i vendor e il mercato finale. Perché le imprese operanti nel settore finanziario? Secondo le ultime rilevazioni IDC, il settore finanziario nel 2006 sta registrando i più alti investimenti in ICT, nei prossimi anni l’investimento delle banche italiane in tecnologie di sicurezza rappresenterà più del 10% di quello del settore finanziario europeo. Oltre che I criminali della rete hanno una particolare predilezione per gli istituti di credito: si tratta dell’89,3% dei casi di attacco
Le imprese clienti - Soluzioni integrate Approccio pianificato - Ridefinizione dei ruoli La sicurezza informatica è ancora vista come costo, considerata un investimento solo da chi effettivamente in azienda se ne occupa. Ancora oggi nel nostro Paese, come nel resto del mondo, per paura di arrecare un danno all’immagine aziendale e, di conseguenza, ai profitti, si preferisce non diffondere notizie relative a un incidente informatico o, più in generale, che riguardano la sicurezza aziendale. La conseguenza è che neanche i partner non ne vengono a conoscenza creando una sensazione generalizzata e globale di “False Security”. Tra le imprese italiane si riscontra la tendenza a considerare le proprie infrastrutture come sicure e, solo nel momento in cui si subisce un attacco si corre ai ripari, spesso in maniera frenetica e disorganizzata. Seguendo quindi un approccio reattivo l’obiettivo diventa il ripristino della situazione definita “normale” drenando continuamente risorse. A fronte di un rischio realmente esistente, le percezioni delle imprese appaiono posizionarsi ad un livello inferiore. Il fatto che l’evento non sia desiderabile, le porta erroneamente a pensare anche che sia meno probabile. Esiste un significativo divario tra le grandi e le piccole; mentre le prime hanno comunque la possibilità di individuare sul mercato soluzioni e piani di sicurezza che tutelano soprattutto gli asset critici per il business aziendale, le seconde non trovano soluzioni su misura, ed economicamente giustificabili, per le loro esigenze. In considerazioni di tali evidenze, ci si potrebbe iniziare a domandare come mai il mercato sia in continua crescita visto lo scetticismo di molte imprese. Questo accade in quanto il motivo principale che spinge le imprese ad aumentarne il proprio livello di sicurezza sia di carattere normativo. E’ la cosiddetta compliance, ovvero la verifica del rispetto delle nuove regole, si tratta della legge sulla privacy, della normativa basilea, della legge anti terrorismo e anche di vari protocolli. Il problema è tuttavia che le imprese vivono la normativa in un’ottica passiva, cercando di adeguarsi ai requisiti minimi che la legge impone in modo da mantenere i costi più bassi possibili. Solo in un caso tra gli intervistati il fatto di possedere determinate certificazioni o rispondere a specifici standard (BS7799, ITL, COBIT, PCA, ecc) viene visto come un’opportunità, legata alla possibilità di partecipare a gare internazionali effettuare progetti congiunti magari con altri istituti esteri. Per cultura in Italia le certificazioni non sono ancora molto diffuse, quindi si presenta un problema nel momento in cui l’impresa vuole dimostrare il proprio livello di sicurezza. A livello organizzativo si riscontrano diverse situazioni. I problemi maggiori sono legati alla presenza di diversi orientamenti tra security manager e it manager, ancor più considerato che il budget di sicurezza fa capo a quest’ultimo. In tale panorama si manifestano tuttavia i primi segnali di cambiamento che portano la sicurezza ad essere considerata secondo un approccio maggiormente analitico e pianificato Inizia a crescere il numero delle aziende che hanno investito per la prima volta in prodotti di sicurezza maggiormente integrati nell'operatività e nell'organizzazione aziendale e ciò porta anche una ridefinizione dei ruoli e l’attibuzione di maggior potere al security manager stesso. Sicurezza come un costo e non un investimento Percezione del rischio che presenta forti elementi di discontinuità Importanza della normativa Organizzazione fortemente disomogenea
Momenti relazionali – la prospettiva di DI.GI. AWARENESS Creazione di consapevolezza circa l’esistenza di un problema Attraverso tavole rotonde e workshops Cercando di informare e non “spaventare” CONSULENZA e FORMAZIONE Aumentare il livello di competenze Indispensabile individuare gli interlocutori adatti, utilizzare un linguaggio il più possibile semplice, esprimere affidabilità e serietà L’approccio che digi utilizza nei confronti del cliente prevede tre momenti: awareness, consulenza e soluzioni. AWARENESS: L’approccio di marketing adottato ha in primis come obiettivo il superamento dello scetticismo che le imprese clienti incontrano nel momento in cui vengono trattate tematiche di sicurezza e quindi il differenziale di awareness tra system integrator e cliente. Con tale finalità l’impresa organizza tavole rotonde e workshop con lo scopo di informare l’impresa attraverso anche magari la descrizione di situazioni in cui si possa riconoscere, ma senza allo stesso tempo “scioccare” o spaventare chi ascolta. Tale strategia non sembra appunto funzionare per una serie di motivi: chi ascolta capisce che lo si vuol spaventare e si ritrae, non gli fa piacere che sia urtata la propria suscettibilità, a fronte di una percezione di rischio eccessiva penserà che comunque a lui quella situazione non accada e se accade non sarà comunque per colpa sua, ecc. Dal punto di vista di DI.GI. tali eventi sono anche un momento in cui la stessa può raccogliere una serie di informazioni e capire qual è l’orientamento delle imprese verso le tematiche di sicurezza. CONSULENZA e FORMAZIONE Successivamente alla creazione di tale consapevolezza, è necessario accrescere le competenze di cui l’impresa cliente Per favorire tale processo innanzitutto è importante interloquire con le persone giuste, l’importanza dell’atteggiamento e del linguaggio utilizzato dai consulenti. Il cliente non gradisce un comportamento “arrogante”, né l’utilizzo di una terminologia eccessivamente tecnica,sia per quanto concerne la comunicazione verbale che scritta, proprio perché non riesce a comprenderla per mancanza di competenze specifiche. La conseguenza immediata è che lo stesso si inibisce, spesso a causa di una sorta di tensione psicologica che si innesca e della sensazione che l’interlocutore si voglia porre ad un gradino superiore. Legato a tale attività di analisi del rischio un atteggiamento che DI.GI. evita, ma che risulta ancora molto diffuso tra le imprese, è quello di far percepire alcune attività, tipo il vulnerability assessment come una sorta di esame, il cui impatto va quindi minimizzato: in tali condizioni sarà difficile per l’impresa condividere valutazioni critiche e proporre i relativi miglioramenti. Infine esprimere affidabilità e serietà, come presupposti per la creazione di fiducia, dato che il fornitore va direttamente nel cuore dell’azionda cliente. Un’altro strumento efficace è la formazione che non deve limitarsi a trasferire competenze tecniche nell’intento di far comprendere specifiche procedure o prodotti di sicurezza, ma anche cercare di sviluppare una cultura condivisa in impresa verso le relative tematiche. SOLUZIONI Non è possibile trattare il prodotto se prima non si và a colmare il differenziale di conoscenza tecnica tra le parti,i linguaggi diversi e, quindi, chi ascolta non coglierebbe il valore aggiunto della proposta, si sentirebbe oggetto di una mera azione di vendita e, per tanto, la relazione nella maggior parte dei casi non evolverebbe. L’attività di consulenza e di sevizio ha proprio la funzione di favorire l’acquisto e l’effettiva implementazione della soluzione. Prodotto e quindi soluzione tecnologica. In termini di prodotto, infine, ciò che nella pratica risulta molto difficile da dimostrare, se non impossibile, è il ritorno dall’investimento derivante dalla stessa (ROI). Anche se il security manager non è tenuto a presentare al management aziendale un prospetto economico di ROI, è indubbio che debba in qualche modo giustificare i benefici per l’infrastruttura ICT derivanti dal progetto. Per ovviare a tale problematica per molte delle soluzioni proposte DI.GI. parla di ROR, ovvero di Reduction on Risk, che si concretizza in una percentuale che esprime di quanto l’impresa riduce il rischio di subire attacchi alla propria sicurezza. SOLUZIONI Il prodotto come momento finale L’utilizzo, ove possibile, di indicatori finanziari
…Creazione di consapevolezza Aumento delle competenze Prime evidenze Le imprese clienti sembrano presentare un atteggiamento passivo Indispensabile la capacità d’impresa di individuare i bisogni non espressi Al crescere della complessità della problematica del cliente, attuare un efficace trasferimento tecnologico significa spostare il focus dal prodotto alla… …Creazione di consapevolezza Aumento delle competenze Possibili futuri trasferimenti Non hanno un ruolo attivo nella determinazione delle proprie esigenze, proprio perché non hanno le competenze per farlo e quindi in tal senso partecipano al processo innovativo, perché non sono in grado di individuare le proprie necessità in tema di sicurezza. Pertanto risulta indispensabile la capacità dell’impresa di individuare i bisogni non espressi, attraverso l’osservazione dell’ambiente in cui operano, cercando di captare i segnali deboli, spesso ignorati, e considerando anche altri contesti dove magari il bisogno che qui è latente là è stato manifestato. E quindi è indispensabile l’abilità dell’impresa di individuare l’architettura, ovvero il mix di tecnologie, più adeguato a rispondere ai bisogni del mercato. In una prospettiva di marketing emerge come all’aumentare del livello di complessità della problematica presentata dall’impresa cliente e quindi anche della soluzione che magari diventa più sistemica, non sia sufficiente ai fini del trasferimento di tecnologia considerare il prodotto, dalla soluzione ma è necessario aumentare il livello di consapevolezza e di competenze tra le parti. Consulenza e formazione permettono infatti di trasferire innanzitutto conoscenza tacita embedded nell’esperienza degli stessi individui, veicolata dalla relazione la fiducia e che contribuisce a generare ulteriori competenze. In questo modo si crea un contesto di conoscenza che è indispensabile per l’accettazione della tecnologia codificata rappresentata appunto dal software e anche per facilitare le future interazioni e i futuri trasferimenti di tecnologia. Un approccio di questo tipo risulta utile in quanto a fronte si un’elevata incertezza, permette al cliente di comprendere la tecnologia, il potenziale d’uso e come la stessa possa effettivamente combinarsi con i propri processi aziendali e quindi, fondamentalmente, creare valore. Questo chiaramente non è un processo né semplice né rapido perché significa anche modificare delle routine organizzative. Consulenza e Formazione Soluzione Tecnologica
Conclusioni e spunti per la ricerca futura Importanza congiunta di tecnologia e conoscenze tecnologiche, aspetti organizzativi e un efficace approccio di marketing per sviluppare una cultura aziendale che promuova la sicurezza, per creare relazioni in grado di generare processi di apprendimento e, più in generale, rendere possibile il trasferimento tecnologico tra le parti. LIMITI : ridotto numero di imprese clienti considerato, consistenti in istituti finanziari e annessi; riferimento a un single case study; focus esclusivo sulla relazione system integrator - cliente. I limiti del presente studio che costituiscono anche gli spunti per la ricerca futura. Innanzitutto il limitato numero di imprese clienti considerato, consistenti in istituti finanziari e annessi. L’estensione della ricerca anche ad altri settori, come per esempio a quello delle telecomunicazioni e della pubblica amministrazione, verificherebbe la possibilità di generalizzare i risultati ottenuti. Anche per quanto concerne la prospettiva dell’impresa che fornisce soluzioni, un numero maggiore di casi studio permetterebbe di rilevare anche altri approcci di marketing, e magari di partire da casi di insuccesso per individuare le possibili aree di miglioramento. Un altro ambito che presenta margini per un’ulteriore esplorazione è quello del marketing del trasferimento tecnologico applicato alla relazione vendor–system integrator, magari in un’ottica cross-cultures. Per concludere, è auspicabile che gli studi futuri sul tema si orientino in modo da individuare schemi teorici di classificazione delle tipologie di trasferimento tecnologico attuabili nel mercato della sicurezza ICT, e le relative strategie di marketing implementabili sulla base dei fattori critici individuati.
Fine I limiti del presente studio che costituiscono anche gli spunti per la ricerca futura Un limite del presente studio è rappresentato dal limitato numero di imprese clienti considerato, consistenti in istituti finanziari e annessi. L’estensione della ricerca anche ad altri settori, come per esempio a quello delle telecomunicazioni e della pubblica amministrazione, verificherebbe la possibilità di generalizzare i risultati ottenuti in questa sede. Anche per quanto concerne la prospettiva dell’impresa che fornisce soluzioni, un numero maggiore di casi studio permetterebbe di rilevare anche altri approcci di marketing, e magari di partire da casi di insuccesso per individuare le possibili aree di miglioramento. Un altro ambito che presenta margini per un’ulteriore esplorazione è quello del marketing del trasferimento tecnologico applicato alla relazione vendor–system integrator, magari in un’ottica cross-cultures. Per concludere, è auspicabile che gli studi futuri sul tema si orientino in modo da individuare schemi teorici di classificazione delle tipologie di trasferimento tecnologico attuabili nel mercato della sicurezza ICT, e le relative strategie di marketing implementabili sulla base dei fattori critici individuati.
Il mercato Tabella 1 – Mercato dell’IT Security, Italia, 2003-2009 Fonte: IDC, 2005 È stato stimato (Mastropasqua, 2006) che in Italia tra il 2004 e il 2009 la spesa in prodotti e servizi di sicurezza IT sia destinata a crescere del 16,8% medio annuo, un valore molto più elevato della crescita annua attesa nello stesso periodo per l'industria IT nel suo complesso, che dovrebbe attestarsi tra l'1,5 e il 2%. A livello mondiale, invece, tra il 2004 e il 2007 il tasso di crescita del mercato si attesterà intorno al 63,1%, anche in questo caso un incremento nettamente superiore alla spesa IT (+18,2%). Ma il dato più interessante è che, a fronte di una crescita del mercato IT nel suo complesso minore dell’Italia verso il mondo, la spesa in IT Security nel nostro Paese aumenta in questi 3 anni di più rispetto alla media mondiale. Alcune cifre possono essere indicative dell’entità del fenomeno. Secondo le rilevazioni di IDC il valore del mercato italiano della sicurezza è stato nel 2005 di circa 700 milioni di Euro e si prevede che superi la quota di 1000 milioni entro fine 2006. Gli analisti affermano che la continua crescita della rete e della connettività wireless, con la conseguente maggiore esposizione ad attacchi interni e esterni, sono tra le cause principali che spiegano tale incremento di domanda. La crescita di tale strumento, nonostante gli innegabili benefici derivanti dal lavorare in rete, è tuttavia sinonimo di una maggiore esposizione a potenziali rischi verso le reti aziendali. Emerge il bisogno di protezione dalle intrusioni da parte di utenti non autorizzati e non si tratta solo di hacker esperti: ovunque su Internet sono disponibili programmi, ypsnaf, DnD, Sniffit, Spoofit oppure Bitchslap, che possono essere semplicemente scaricati e lanciati senza conoscere quali vulnerabilità del software o protocolli sfruttino o, per i più “competenti”, evolutissime piattaforme in grado di decidere autonomamente quale attacco effettuare al sistema target. L’elevato numero di minacce è per lo più legato alla velocità e necessità di collaborazione con il network esteso. La velocità viene riferita sia alle comunicazioni, e quindi alla possibile diffusione di virus e warms, sia allo sviluppo del software, con tante nuove release ognuna delle quali può portarsi dietro vulnerabilità. Diffusione dell’ ICT Aumento esponenziale delle minacce a cui le imprese sono sottoposte