I sondaggi sono una bella cosa. Danno un’idea precisa, per quanto limitata a gruppi ridotti di persone, di quelli che sono i trend di un’industria, ed in genere quelli rivolti agli operatori sono i più veritieri perché di fatto chi vi risponde non ha nulla da perdere o da preservare, semplicemente descrive la realtà che sta vivendo.

I sondaggi possono essere deprimenti. Quello che raccontiamo oggi poi, 1H 2025 Cybersecurity Decision Maker Survey, condotto da Futurum e riassunto nell’articolo How Are Cyber Incidents Reshaping Enterprise Security Technology Needs? contiene dettagli che, alla meglio, fanno scuotere il capo.

Il riassunto principale è dato in questa immagine:

La quale dà sì una fotografia chiara, ossia il fatto che la sicurezza non va mai messa al secondo posto nelle strategie aziendali, ma non dice tutto.

Condotto negli Stati Uniti su un campione di 250 decision maker, ossia persone che definiscono le strategie di sicurezza e si accertano che vengano applicate, riporta dati in linea con quello che vediamo quotidianamente: l’80% degli intervistati ha rilevato almeno un incidente di sicurezza nell’ultimo anno che ha comportato perdita di dati o disservizi operativi e le categorie degli attacchi sono equamente distribuite tra cloud, furti e ransomware.

Ma non finisce qui, poiché uno dei dati non riportati nel riassunto riguarda il 62% dei rispondenti che ha dichiarato di rilasciare consapevolmente codice insicuro in produzione per far fronte alle scadenze.

Già questo potrebbe bastare a chiudere l’articolo, ma altri numeri motivano quanto illustrato. Infatti quasi il 90% degli intervistati lavora per organizzazioni che allocano solo tra l’11-20% dei budget per la sicurezza delle applicazioni. Solo l’1% investe più del 20% del budget totale per la sicurezza delle applicazioni.

Lo shift-left, ossia il posizionamento della sicurezza nelle fasi di pianificazione dello sviluppo delle applicazioni – di cui da sempre siamo tifosi – è adottato consapevolmente da un misero 36%, un abbondante 57% fa l’opposto (anche se non esiste, fortunatamente, il concetto di shift-right), considerando la sicurezza poco prima dell’implementazione.

Aaron Cure, direttore della sicurezza informatica per Cypress Data Defense, che ha condotto il sondaggio, intervistato da DevClass ha analizzato il problema in un’intervista che, se avete voglia di farvi deprimere un poco, vale la pena vedere.

Altro da aggiungere?

Forse un consiglio. Certi sondaggi andrebbero stampati ed appesi nei corridoi, invece che consultati mentre si sta cercando di trattare il riscatto del prossimo ransomware.