Continua a crescere in Italia – per il terzo anno consecutivo – il mercato dell’information security. Nel 2019 il giro d’affari legati alle soluzioni per la sicurezza e la data protection raggiunge un valore di 1,317 miliardi di euro, in crescita di poco meno dell’11% rispetto all’anno precedente (dopo aver registrato un +9% nel 2018 e un +12% nel 2017). La spesa in sicurezza si concentra soprattutto in soluzioni di security, che raccolgono il 52% degli investimenti (in particolare per componenti di sicurezza più tradizionali), a fronte del 48% nei servizi che però crescono maggiormente (in crescita per il 45% delle aziende). La tecnologia al centro dell’attenzione è l’Artificial Intelligence, già impiegata per la gestione della sicurezza dal 45% delle grandi imprese.
La spinta normativa, a partire dal Gdpr, e la crescita degli investimenti trainano la domanda di competenze nell’information security. Il 71% delle grandi imprese italiane afferma che il team interno ha già le competenze necessarie, il 40% sta cercando nuovi profili. In particolare, il 51% attualmente è alla ricerca di Security Analyst, il 45% di Security Architect e il 31% Security Engineer, figure quindi in cima alle richieste dei recruiter. Appare ancora scarsa, però, la maturità organizzativa delle imprese: nel 40% delle organizzazioni non esiste una specifica funzione Information Security, che rimane all’interno dell’It, e il responsabile della sicurezza è lo stesso Cio. Pur se in ritardo rispetto alle grandi imprese, le Pmi mostrano un leggero miglioramento nella gestione dell’information security. Il 90% dispone di soluzioni di sicurezza di base come sistemi antivirus e antispam e una su due sta investendo per migliorare la propria dotazione di security.
Sono questi i principali risultati della ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, presentata questa mattina al convegno “Security-enabled transformation: la resa dei conti”.
“Il mercato italiano dell’Information Security si conferma dinamico e in crescita anche nel 2019. La sicurezza informatica non è più percepita come un ostacolo all’adozione di nuove tecnologie e servizi, ma come un fattore fondamentale per il successo del business” afferma in una nota Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy, “ma c’è ancora molta strada da fare nella maturità organizzativa. Ben il 40% delle imprese non ha una funzione specifica che si occupi di sicurezza informatica: questo genera incertezza e oltre un’impresa su due è insoddisfatta di come viene gestita. Emerge la necessità di adottare un modello integrato di governance della security che permetta di definire modalità di intervento uniformi e monitorare in maniera completa e affidabile le potenziali minacce”.
L’assetto del mercato dell’Information Security in Italia
Come anticipato, il 52% delle risorse è dedicato a soluzioni di sicurezza (in aumento del 26% rispetto al 2018), il restante 48% ai servizi (in crescita per il 45% delle aziende). Tra le soluzioni, la categoria che raccoglie la quota principale della spesa è la “Network & Wireless Security”, intesa come protezione della rete fisica e logica (36%), seguita dalla “Endpoint Security” (20%), che comprende postazioni fisse e dispositivi mobili, e dalla “Application Security” (19%). La protezione degli ambienti Cloud attrae il 13% della spesa e rappresenta la categoria con la crescita più elevata (in crescita per il 55% delle aziende). Vengono poi i dispositivi connessi dell’Internet of Things, col 5%, e un’ulteriore voce marginale in cui rientrano diversi aspetti di governance, che complessivamente coprono il 7% del budget. I servizi più finanziati sono quelli offerti da fornitori esterni all’azienda per progetti specifici (professional services, 54%), ma quelli più in crescita sono i servizi offerti in maniera continuativa da provider esterni all’organizzazione per garantire il supporto e la manutenzione dei sistemi informativi aziendali (in aumento nel 45% delle organizzazioni).
I trend dell’innovazione digitale considerati priorità di investimento nell’information security e data protection indicati dalle imprese nell’anno appena trascorso sono Cloud (67%), Mobile (43%) e Big Data (41%). Seguono Industria 4.0 (39%), eCommerce & Payment (37%), Internet of Things (31%), Artificial Intelligence (27%), Blockchain (13%), 5G (10%) e Realtà Aumentata e Virtuale (7%).
I modelli organizzativi per la gestione della security
Dalla ricerca emerge un diffuso ritardo nei modelli organizzativi e di gestione della sicurezza informatica: nel 40% delle imprese è assente una specifica funzione e una figura direzionale dedicata all’Information Security, la cui gestione è affidata ancora al Cio e all’It. In più di un quarto del campione, inoltre, esiste una funzione esterna ai Sistemi Informativi, ma la figura responsabile della sicurezza (Ciso o ruolo equivalente) riporta all’It (27%). Sono poche le imprese in cui la funzione Security riporta a una funzione aziendale diversa dall’It (17%) o direttamente al Board (16%).
La scarsa maturità organizzativa si riflette nella mancanza di soddisfazione, con oltre metà delle realtà che boccia il modello di gestione della sicurezza impiegato. L’insoddisfazione è più elevata dove la funzione Security riporta alla divisione It (65%), mentre è minima nelle realtà in cui il Ciso riferisce direttamente al Board (il 90% è contento della struttura organizzativa utilizzata). Più strutturata la gestione del fattore umano: nel 55% del campione è attivo un piano formativo pluriennale che coinvolge l’intero personale, nel 25% la formazione è rivolta alle sole divisioni più sensibili al tema (come It, Risk Management e Compliance), mentre il 20% non ha un progetto formativo strutturato.
L’Ot security in ambito industriale
L’interconnessione di sistemi industriali e la sempre maggiore diffusione di dispositivi IoT pongono il problema della protezione degli ambienti Ot (Operational Technologies). Il principale rischio di Ot Security individuato dalle aziende è il fermo della produzione (54%), seguito dalla “safety” (20%), minacciata dall’interazione sempre più diretta fra operatori e macchine (ad esempio la robotica collaborativa), dall’alterazione o modifica della produzione (16%) e dal furto o perdita di dati confidenziali (10%). Per fronteggiare questi rischi, il 68% delle aziende effettua security assessment e/o audit su sistemi e reti OT e il 60% ha introdotto strumenti di sicurezza specifici per l’ambito industriale. La gestione dell’Ot Security all’interno delle grandi aziende viene affidata nella maggioranza dei casi alla funzione It (47%), mentre è più marginale il ruolo delle divisioni Information Security (11%) e Operations (4%).
L’impatto di Intelligenza artificiale e Blockchain
L’Osservatorio ha analizzato l’impatto dell’Artificial Intelligence e della Blockchain sull’information security. Solo il 44% dei Ciso ha una conoscenza almeno discreta dell’Ai, percentuale che scende al 28% quando si parla di Blockchain. Quattro imprese su dieci giudicano positivamente l’impiego della Blockchain per applicazioni di security, ma soltanto l’1% ha attivato un progetto e appena il 16% lo sta valutando per il futuro, soprattutto per garantire che il dato non venga modificato, per gestire la privacy e i diritti di accesso ai dati e per l’identificazione di dispositivi fisici connessi.
Più diffuso il consenso sulle capacità dell’Ai di garantire più sicurezza rispetto ai sistemi tradizionali e agli operatori umani (rispettivamente 86% e 85%) e rendere il personale addetto più efficiente (82%), anche se la maggior parte del campione ritiene che l’Ai non possa sostituire completamente il giudizio umano nel contesto della security (89%) e il 77% pensa che sia necessario dotarsi di profili esperti di questa tecnologia. L’impiego di algoritmi di Ai e Machine Learning per la gestione della sicurezza informatica è cresciuto significativamente nel 2019, passando dal 22% al 45% di imprese che ne fanno uso, soprattutto nel monitoraggio dei comportamenti di sistemi e persone per rilevare potenziali minacce (71%), nell’identificazione di tentativi di phishing (41%) e nella prevenzione di possibili frodi (25%). Seguono l’analisi e la gestione degli incidenti (24%) e la ricerca di vulnerabilità in fase di sviluppo software (16%).
L’adeguamento a Gdpr, Nis e Cybersecurity Act
Il 55% delle imprese ha completato i progetti di adeguamento al Gdpr (+31% sul 2018), nel 30% queste iniziative sono ancora in corso (erano il 58% un anno fa), il 5% si trova ancora nella fase di analisi dei requisiti, mentre nel 10% il tema non è ancora all’attenzione del Board. Con l’aumento delle imprese conformi crescono gli investimenti: il 45% ha aumentato il budget dedicato, nel 53% delle realtà è rimasto invariato, solo il 2% lo ha ridotto. Più indietro le iniziative per la conformità alla Direttiva Nis, recepita in Italia il 24 Giugno 2018, che promuove una cultura di gestione del rischio e di segnalazione degli incidenti fra i principali operatori economici. Solo il 6% ha completato le attività richieste, il 12% si sta adeguando ai requisiti, il 16% sta valutando cosa fare, il 24% non si è ancora attivato mentre il restante 42% dichiara di non essere coinvolto dalla normativa. Il Cybersecurity Act, entrato in vigore il 27 giugno 2019 con l’obiettivo di creare un quadro europeo sulla certificazione della sicurezza informatica di prodotti Ict e servizi digitali, produrrà i primi effetti nei prossimi anni. Finora la percezione degli Executive è positiva: per il 67% consentirà alle aziende di scegliere i prodotti e servizi tecnologici con maggiori garanzie di sicurezza.
Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Information Security & Privacy, spiega: “Anche dal punto di vista della privacy ci sono evidenti miglioramenti in relazione all’adeguamento al Gdpr, dove però esiste ancora un certo numero di aziende non conformi, con e un diffuso ottimismo anche nei confronti del Cybersecurity Act. Allo stesso tempo, però, le minacce alla sicurezza diventano sempre più numerose e pericolose: per difendersi le imprese sono chiamate ad attivare logiche di security-by-design e strumenti di protezione in tempo reale”.
Crescono le competenze in Italia
Dall’indagine dell’Osservatorio emerge un quadro positivo anche per quanto riguarda la presenza di competenze di security e data protection nelle imprese. Il 71% afferma che il team interno ha le competenze necessarie, ma fra queste il 30% sta cercando altre figure specializzate da introdurre in organico; resta tuttavia ancora elevata la percentuale di aziende sprovviste dei profili necessari per gestire la sicurezza (29%, di cui solo il 9% sta selezionando nuovi ruoli e il 20% si affida a consulenti esterni). Circa il 40% delle aziende è quindi alla ricerca di nuove risorse e il 77% di queste incontra difficoltà a reperire sul mercato profili specializzati. La figura più ricercata è il Security Analyst (dal 51% di queste aziende), che valuta le vulnerabilità di reti, applicazioni e servizi proponendo soluzioni e accorgimenti pratici, seguita dal Security Architect (45%), che cura il disegno armonico e coerente delle misure di security presenti in azienda, e dal Security Engineer (31%), che monitora i sistemi e propone soluzioni per rispondere agli incidenti. Nell’ambito privacy, nel 2019 è leggermente diminuita la presenza di Data Protection Officer, inserito formalmente nel 57% delle imprese e informalmente nel 4% (erano il 71% complessivamente nel 2018), ma è cresciuto del 9% il numero di imprese che delega questa responsabilità a un consulente esterno (dal 18% al 27%).
