Se il cyber crime aumenta, le aziende intensificano gli investimenti in sicurezza. E’ il momento della consapevolezza per le organizzazioni italiane di fronte a minacce informatiche sempre più sofisticate e ad attacchi più frequenti e aggressivi: secondo l’ultimo rilevamento dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, nel 2017 il mercato delle soluzioni di information security in Italia ha raggiunto un valore di 1,09 miliardi di euro, in crescita del 12% rispetto al 2016. La spesa si concentra prevalentemente fra le grandi imprese (il 78% del totale), trainata dai progetti di cyber security e adeguamento al GDPR (General data protection regulation), che contribuiscono ad oltre metà della crescita registrata.
In oltre un’impresa italiana su due (il 51%), è in corso un progetto strutturato di adeguamento alla nuova regolamentazione Ue in materia di trattamento dei dati personali che diventerà pienamente applicabile a partire dal 25 maggio 2018 (erano appena il 9% un anno fa) e un altro 34% sta analizzando nel dettaglio requisiti e piani di attuazione. Contemporaneamente, cresce al 58% (rispetto al 15% di un anno fa) la percentuale di aziende che hanno già un budget dedicato all’adeguamento al Gdpr.
Insieme al mercato cresce la consapevolezza della necessità di un approccio di lungo periodo nella gestione della sicurezza: nel 50% delle imprese è in corso un piano di investimenti pluriennale, anche se ben il 21% dichiara di stanziare un budget in sicurezza solo in caso di necessità. E si definiscono i ruoli nelle organizzazioni: il 39% delle imprese sta inserendo in organico nuovi profili che si occupano di security e il 49% di privacy. Aumentano responsabilità e competenze richieste al Chief Information security officer e si definiscono figure emergenti come il Security administrator, il Security architect, il Security engineer e il Security analyst. Il 28% delle imprese ha già in organico o collabora con un Data protection officer con il compito di facilitare il rispetto del Gdpr.
La ricerca è stata realizzata attraverso una survey a 1107 CISO, CSO e CIO di imprese italiane, un’indagine ad hoc ai Risk Manager e Chief Risk Officer di 106 organizzazioni italiane e un’ulteriore indagine su 313 professionisti del settore sul tema data protection.
“Nonostante le minacce aumentino, l’evoluzione del mercato restituisce un quadro tutto sommato ottimistico — Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano —: nelle aziende italiane cresce la consapevolezza dell’importanza della gestione della sicurezza e della privacy, mentre aumentano i budget stanziati. La figura del Chief Information security officer sta acquisendo maggior rilevanza rispetto al passato e si assiste a una progressiva strutturazione delle funzioni preposte alla gestione della sicurezza. Il tema della sicurezza e della data protection è diventato ormai prioritario, anche grazie all’attenzione mediatica, e la gestione del rischio cyber inizia ad entrare nelle strategie aziendali. Aumentano le sfide, ma sta mutando anche l’approccio delle organizzazioni con soluzioni sempre più sofisticate”.
“Il 2017 si è rivelato un anno di svolta per la gestione della sicurezza e della privacy in Italia: gli investimenti aumentano in modo consistente, grazie anche alla spinta del Gdpr — afferma Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy del Politecnico di Milano —. Questa rinnovata attenzione permette al nostro paese, soprattutto per quanto riguarda le imprese più grandi, di collocarsi in linea con le principali realtà europee. Rispetto al passato c’è una maggiore attenzione ai trend dell’innovazione digitale che richiedono nuovi modelli e competenze. La sfida per il 2018 sarà quella di rendere questi investimenti strutturali, per dare continuità alla spinta di innovazione registrata lo scorso anno”.
Scendendo nel dettaglio sul mercato dell’information security, escludendo la quota destinata ai progetti di adeguamento al Gdpr, la spesa è ancora orientata principalmente alle componenti di sicurezza tradizionali, come la Business Continuity & Disaster Recovery (19%), la Network Security (14%) e Security Testing (9%). Lo scenario appare diverso se però si osservano le prospettive di spesa per il futuro: le maggiori percentuali di incremento sono previste nel mobile e nel cloud computing, con il 63% delle imprese che dichiara un aumento della spesa dedicata alla protezione dei device mobili (che pesa circa il 4% sulla spesa attuale) e il 59% che definisce in crescita il budget relativo alla protezione degli ambienti di cloud computing (che attualmente copre il 3% della spesa).
Sul Gdpr, soltanto l’8% delle imprese dichiara una scarsa conoscenza delle implicazioni (contro il 23% di un anno fa), mentre sale dal 9% del 2016 al 51% attuale il numero di aziende in cui è già in corso un progetto strutturato di adeguamento. Un’impresa su tre (il 34%) sta analizzando i requisiti richiesti e i piani di attuazione possibili. Alla maggiore conoscenza corrisponde anche un deciso incremento delle risorse: il 58% delle aziende ha un budget dedicato all’adeguamento al Gdpr, di cui il 35% con orizzonte annuale e il 23% su base pluriennale, mentre erano soltanto il 15% dodici mesi fa (7% pluriennale e 8% annuale). Resta ancora molto elevata, tuttavia, la percentuale di organizzazioni senza un budget dedicato: il 42%, divise fra il 23% che prevede di stanziarle nel corso dei prossimi sei mesi e il restante 19% che non lo ha ancora programmato.
Rilevante la crescita del nuovo mercato dell’assicurazione del rischio cyber, embrionale ma con importanti potenzialità di espansione. Oggi esistono svariate possibilità di copertura riguardanti la perdita o la divulgazione di dati personali e sensibili, la compromissione del sistema informativo e la sua interruzione di servizio, che possono tutelare danni causati a terzi o all’azienda stessa. Il 27% delle imprese ha sottoscritto una polizza nel 2017, un numero ancora limitato ma in decisa crescita rispetto al 15% del 2016, mentre persiste un 11% di imprese che non conosce l’esistenza dell’assicurazione dal rischio cyber.
A dimostrazione della crescente attenzione all’information security, le aziende si stanno attrezzando per potenziare i team dedicati alla gestione della sicurezza. Quattro grandi imprese su dieci (39%) prevedono un aumento in organico dei ruoli che gestiscono la cyber security e quasi la metà afferma che incrementerà il numero di figure preposte alla gestione della privacy (49%), mentre soltanto rispettivamente il 2% e l’1% prevede una diminuzione del personale dedicato a queste funzioni.
Le piccole e medie imprese si dividono soltanto una parte minoritaria della spesa in soluzioni di information security, pari al 22%, con il livello di spesa e di adozione delle tecnologie di cyber sicurezza che aumenta al crescere delle dimensioni aziendali. Il 93% delle medie imprese utilizza soluzioni di security, di cui il 44% adotta strumenti sofisticati, come Intrusion Detection e Access Management. Nelle piccole sono diffuse soluzioni più basilari, come Antivirus e Antispam, mentre le microimprese si rivelano le più esposte agli attacchi: ben il 30% non prevede alcun tipo di difesa contro le cyber minacce. Lo stesso gap dimensionale è in ambito organizzativo: soltanto nel 30% delle Pmi è presente un responsabile cyber security, nella maggior parte dei casi l’imprenditore stesso o il direttore generale, mentre il 15% non prevede nessuna figura nella gestione di questa funzione. Un altro divario evidente, infine, è quello fra Nord e Sud del Paese, con il 40% delle imprese del Nord Ovest e il 30% di quelle del Nord Est che utilizzano soluzioni di information security, contro il 19% delle aziende del Centro e il 15% di quelle del Sud.