Le imprese italiane aumentano gli investimenti sulla prevenzione dei rischi e sui processi di adeguamento al Gdpr, ma faticano ad adattarsi alla rapida evoluzione delle modalità di aggressione. È questa in estrema sintesi la fotografia scattata dalla ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, presentata questa mattina al convegno “Winter is coming: adapt to react”.
Secondo i risultati dell’indagine, il mercato italiano delle soluzioni di information security & privacy nel 2018 continua a crescere, raggiungendo il valore di 1,19 miliardi di euro, in crescita del 9% (dopo il +12% fatto registrare nel 2017). A trainare il mercato sono soprattutto le grandi imprese, con il 75% della spesa complessiva, concentrata su adeguamento al Gdpr (General Data Protection Regulation) e componenti di sicurezza più tradizionali (come Network Security, Business Continuity & Disaster Recovery, Endpoint Security). Il 43% delle Pmi investe in sistemi di information security & privacy, con i progetti di adeguamento al Gdpr come principale motivazione di spesa (70%). Circa nove su dieci hanno adottato soluzioni di sicurezza informatica di base, mentre le tecnologie più sofisticate (quali ad esempio Intrusion Detection e Identity & Access Management) sono adottate dal 64% delle medie imprese (+20%) e dal 39% delle piccole. Oltre la metà del campione (il 52%) non si sta ancora muovendo sul fronte della cyber sicurezza, adotta al massimo soluzioni di base e non ha inserito profili specializzati su questi temi.
Ma guardando al futuro, gli ambiti in cui le imprese dichiarano di voler aumentare i propri investimenti sono invece le componenti più innovative, come Cloud Security (sul quale il 71% delle organizzazioni dichiara di prevedere un aumento di budget), Industrial Security (52%), Artificial Intelligence & Machine Learning (50%), e protezione in ambiti Mobile (47%) e IoT (47%). Il 63% delle grandi imprese ha aumentato il budget per la cyber sicurezza e nel 52% è presente un piano di investimenti pluriennale, anche se quasi una su cinque non prevede ancora investimenti dedicati o stanzia risorse solo in caso di necessità.
Il Gdpr e la creazione di nuove competenze
Rispetto al Gdpr, l’88% delle imprese ha dedicato uno specifico budget nel 2018 (era il 58% un anno fa). Quasi un’impresa su quattro ha già completato il processo di adeguamento al regolamento, mentre il 59% ha progetti strutturati ancora in corso. Il 2018 ha registrato un boom del Data Protection Officer (Dpo). Meno rapida la diffusione del Chief Information Security Officer (Ciso), presente formalmente nel 47% delle aziende, informalmente nel 12% e di prossima introduzione nel 2% del campione: il Data Protection Officer oggi è presente nel 71% delle imprese (+46%), il Chief Information Security Officer nel 59%, mentre sono sempre di più i profili emergenti come il Cyber Risk Manager, l’Ethical Hacker e il Machine Learning Specialist. Le aziende stanno cercando di acquisire e potenziare le competenze specializzate in sicurezza e privacy. Il 41% delle grandi imprese analizzate prevede un aumento dell’organico dedicato alla gestione della security, il 2% una diminuzione, il resto lo manterrà invariato. Sul fronte privacy, invece, il 38% inserirà nuovi profili e soltanto l’1% li ridurrà.
Il ruolo dell’Intelligenza artificiale
Cresce l’attenzione per nuove tecnologie come l’Artificial Intelligence, considerata una minaccia da appena il 14% delle imprese, mentre il 40% già oggi sta utilizzando tecniche di Ai o Machine Learning per prevenire potenziali minacce e identificare gli attacchi ancora prima che si verifichino (17%), per ottimizzare la gestione di eventuali incidenti di sicurezza automatizzando il processo decisionale e il tempo di risposta (15%) e per intercettare possibili frodi (8%). Il 36% del campione sta pianificando di adottare soluzioni di intelligenza artificiale nel prossimo futuro. E nascono attori innovativi che propongono soluzioni di information security & privacy: sono 417 le startup a livello internazionale, per un totale di 4,75 miliardi di dollari di investimenti raccolti.
“Il mercato delle soluzioni per la sicurezza informatica e la privacy è dinamico, con consapevolezza e budget in crescita, anche se non con lo stesso ritmo del 2017”, spiega in una nota Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Information Security & Privacy. “Ma allo stesso tempo si registra un’accelerazione senza precedenti del numero e della varietà degli attacchi e le imprese non sembrano adeguatamente preparate. Gli investimenti effettuati negli ultimi anni sono una buona base di partenza, che ha permesso di mettere in campo strutture organizzative, procedure e competenze, ma è necessaria una maggiore pervasività delle iniziative di sicurezza a tutti i livelli manageriali e organizzativi delle imprese e un maggiore coinvolgimento dei profili dedicati alla security nelle strategie di business”.
Cyber rischi e coperture assicurative
Le principali finalità dei cyber attacchi subiti dalle imprese nello scenario attuale sono truffe, come phishing e business email compromise (83%), e estorsioni (78%), poi intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%). Ma nei prossimi tre anni le aziende temono soprattutto spionaggio (55%), truffe (51%), influenza e manipolazione dell’opinione pubblica (49%), acquisizione del controllo di sistemi come impianti di produzione (40%). I principali obiettivi degli attacchi sono oggi account email (91%) e social (68%), seguiti dai portali eCommerce (57%) e dai siti web (52%). Nel prossimo triennio, le imprese prevedono che gli hacker si concentreranno su device mobili (57%), infrastrutture critiche come reti elettriche, idriche e di telecomunicazioni (49%), smart home & building (49%) e veicoli connessi (48%). La principale vulnerabilità è costituita dal comportamento umano: per l’82% delle imprese la prima criticità è la distrazione e scarsa consapevolezza dei dipendenti, seguita da sistemi It obsoleti o eterogenei (41%) e da aggiornamenti e patch non effettuati regolarmente (39%). Per minimizzare il rischio, l’80% delle imprese ha avviato piani di formazione del personale.
Il mercato dell’assicurazione del rischio cyber prevede oggi svariate possibilità di copertura riguardanti la perdita o la divulgazione di dati personali e sensibili, la compromissione del sistema informativo e la sua interruzione di servizio. “A livello internazionale è un settore già molto radicato, mentre in Italia si trova ancora in una fase di sviluppo, seppure in crescita rispetto alla precedente rilevazione”, commenta Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy. “Il 33% delle imprese ha sottoscritto coperture assicurative di trasferimento del rischio cyber (+6%), di cui il 18% che ha scelto polizze completamente dedicate al cyber risk e il 15% che ha optato per assicurazioni generaliste che lo coprono parzialmente. Il 25% sta valutando se attivarle, il 30% è informato della possibilità ma non ha intenzione di farne uso, mentre il 12% non ne è a conoscenza”.
