Cresce in Italia il mercato dell’Information security e l’attenzione delle imprese italiane per la sicurezza informatica, ma le aziende sono ancora in ritardo nella gestione di sicurezza e privacy. In quello che sarà ricordato come “l’anno dell’Hack”, con la scoperta delle violazioni di 500 milioni di account Yahoo!, le presunte azioni di cyberspionaggio durante le elezioni presidenziali americane, la crescita dei ransomware, l’attacco a uno dei principali Dns provide, il mercato delle soluzioni di information security in Italia, infatti, nel 2016 raggiunge i 972 milioni di euro. E’ lo scenario delineato dai dati della ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, presentata questa mattina a Milano, al convegno “Cyber Crime: La minaccia invisibile che cambia il mondo”.
Il mercato è in crescita del 5% rispetto 2015, con una spesa concentrata tra le grandi imprese (74% del totale) suddivisa tra tecnologia (28%), servizi di integrazione IT e consulenza (29%), software (28%) e managed service (15%). Ma, sebbene cresca la consapevolezza, di fronte alle nuove sfide poste dallo sviluppo di tecnologie come Cloud, Big Data, Internet of Things, Mobile e Social, però “non è ancora diffuso un approccio di lungo periodo alla gestione della sicurezza e della privacy, con una chiara struttura di governo”.
Riguardo al ritardo delle imprese nella gestione di sicurezza e privacy, infatti, il report delll’Osservatorio Polimi rileva che “solo il 39% delle grandi imprese ha un piano di investimento con orizzonte pluriennale e solo il 46% ha in organico in modo formalizzato la figura del Chief Information Security Officer, il profilo direzionale a capo della sicurezza”.
“Il Cyber Crime è una minaccia concreta anche se spesso invisibile, in grado di condizionare il mondo, come dimostrano i quotidiani fatti di cronaca, che richiede nuovi strumenti e modelli per farvi fronte – spiega Gabriele Faggioli, responsabile scientifico dell’Osservatorio Information Security & Privacy – I nuovi trend dell’innovazione digitale come Cloud, Big Data, Internet of Things, Mobile e Social richiedono nuove risposte non più rimandabili”. In questo contesto il nuovo Regolamento europeo sulla Protezione dei Dati Personali, evidenzia Faggioli, “crea alcuni dei presupposti necessari per giungere a un quadro di riferimento, che richiede però di essere compreso ed attuato. Il percorso di gestione dell’Information Security & Privacy chiede alle aziende di mettere in campo adeguati modelli di governance, progettualità e soluzioni per affrontare la trasformazione“.
Per Alessandro Piva, direttore dell’Osservatorio Information Security & Privacy, il fatto che il mercato cresca e si porti a 972 milioni di euro ed è “un valore importante che tuttavia non può tranquillizzarci”. Piva evidenzia la necessità di “una governance più matura e consapevole” di organizzazioni e imprese.
“Se analizziamo più in profondità i dati della ricerca, ci rendiamo conto -spiega Piva- di come le grandi organizzazioni italiane siano ancora indietro: oltre la metà non ha ancora una figura manageriale codificata per la gestione della sicurezza informatica, evidenziando un gap importante rispetto a quanto avviene in altri Paesi”.
“Inoltre -prosegue- si denota un ritardo nella comprensione delle implicazioni dei trend dell’innovazione digitale quali Cloud, IoT, Big Data, Mobile, sulla gestione della sicurezza”. Nel contesto attuale, per Piva “servono modelli di governance più maturi e trasversali, assicurando il corretto mix di competenze per gestire tecnologie sempre più pervasive”. “Ed è necessario -osserva- da una parte progettare sistemi in grado di predire i possibili attacchi, dall’altra sviluppare programmi di sensibilizzazione per gli utenti, al fine di promuovere comportamenti responsabili”.
Sono poche le aziende che hanno definito una struttura di governo chiara della sicurezza informatica. Solo nel 46% delle grandi imprese è presente in modo formalizzato la figura del Chief Information Security Officer (Ciso), nel 12% è presente ma non formalizzata, nel 9% è prevista l’introduzione nei prossimi 12 mesi. Nei restanti casi non esiste una figura ed il presidio dell’information security è demandato direttamente al Chief Information Officer (28%) o a figure esterne all’Ict (5%).
Il “ritardo” italiano si conferma focalizzando le organizzazioni dove il Ciso è presente: nel 65% dei casi fa parte della direzione Ict, riportando al Cio, solo in un 10% dei casi riporta direttamente al board aziendale, nel resto riporta ad una funzione security corporate, a Risk management, operations, o in casi marginali a compliance, finance o altre strutture.
L’indagine analizza anche il mercato dell’assicurazione del rischio cyber, definendolo ancora ancora immaturo in Italia. La copertura del rischio cyber è orientata a coprire i danni causati direttamente al sottoscrittore o a terze parti, dall’investigazione e gestione degli eventi, alla gestione delle istruttorie, alla copertura danni. Solo il 15% delle imprese ha già attive coperture assicurative, sebbene, evidenzia lo studio, solo in poco più della metà dei casi (8%) si tratti di polizze espressamente orientate al rischio Cyber, mentre nei restanti casi si tratta di coperture generalistiche che la offrono tra le condizioni. Il 29%, indica la ricerca, è in valutazione di coperture assicurative, mentre il 32% non ritiene sufficientemente maturo il mercato cyber insurance o non ritiene il problema rilevante.