Cybersecurity, nelle aziende italiane budget in aumento. Anche per le nuove competenze - CorCom

LO STUDIO

Cybersecurity, nelle aziende italiane budget in aumento. Anche per le nuove competenze

Secondo i dati dell’Osservatorio Information Security & Privacy del Politecnico di Milano, a trainare la spesa sono le grandi imprese. Al top della classifica la Cloud Security, seguita da Industrial Security, Artificial Intelligence & Machine Learning, Mobile e IoT. Si fanno strada le polizze assicurative

05 Feb 2019

Le imprese italiane aumentano gli investimenti sulla prevenzione dei rischi e sui processi di adeguamento al Gdpr, ma faticano ad adattarsi alla rapida evoluzione delle modalità di aggressione. È questa in estrema sintesi la fotografia scattata dalla ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, presentata questa mattina al convegno “Winter is coming: adapt to react”.

Secondo i risultati dell’indagine, il mercato italiano delle soluzioni di information security & privacy nel 2018 continua a crescere, raggiungendo il valore di 1,19 miliardi di euro, in crescita del 9% (dopo il +12% fatto registrare nel 2017). A trainare il mercato sono soprattutto le grandi imprese, con il 75% della spesa complessiva, concentrata su adeguamento al Gdpr (General Data Protection Regulation) e componenti di sicurezza più tradizionali (come Network Security, Business Continuity & Disaster Recovery, Endpoint Security). Il 43% delle Pmi investe in sistemi di information security & privacy, con i progetti di adeguamento al Gdpr come principale motivazione di spesa (70%). Circa nove su dieci hanno adottato soluzioni di sicurezza informatica di base, mentre le tecnologie più sofisticate (quali ad esempio Intrusion Detection e Identity & Access Management) sono adottate dal 64% delle medie imprese (+20%) e dal 39% delle piccole. Oltre la metà del campione (il 52%) non si sta ancora muovendo sul fronte della cyber sicurezza, adotta al massimo soluzioni di base e non ha inserito profili specializzati su questi temi.

Ma guardando al futuro, gli ambiti in cui le imprese dichiarano di voler aumentare i propri investimenti sono invece le componenti più innovative, come Cloud Security (sul quale il 71% delle organizzazioni dichiara di prevedere un aumento di budget), Industrial Security (52%), Artificial Intelligence & Machine Learning (50%), e protezione in ambiti Mobile (47%) e IoT (47%). Il 63% delle grandi imprese ha aumentato il budget per la cyber sicurezza e nel 52% è presente un piano di investimenti pluriennale, anche se quasi una su cinque non prevede ancora investimenti dedicati o stanzia risorse solo in caso di necessità.

Il Gdpr e la creazione di nuove competenze

Rispetto al Gdpr, l’88% delle imprese ha dedicato uno specifico budget nel 2018 (era il 58% un anno fa). Quasi un’impresa su quattro ha già completato il processo di adeguamento al regolamento, mentre il 59% ha progetti strutturati ancora in corso. Il 2018 ha registrato un boom del Data Protection Officer (Dpo). Meno rapida la diffusione del Chief Information Security Officer (Ciso), presente formalmente nel 47% delle aziende, informalmente nel 12% e di prossima introduzione nel 2% del campione: il Data Protection Officer oggi è presente nel 71% delle imprese (+46%), il Chief Information Security Officer nel 59%, mentre sono sempre di più i profili emergenti come il Cyber Risk Manager, l’Ethical Hacker e il Machine Learning Specialist. Le aziende stanno cercando di acquisire e potenziare le competenze specializzate in sicurezza e privacy. Il 41% delle grandi imprese analizzate prevede un aumento dell’organico dedicato alla gestione della security, il 2% una diminuzione, il resto lo manterrà invariato. Sul fronte privacy, invece, il 38% inserirà nuovi profili e soltanto l’1% li ridurrà.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Business Analytics
Business Intelligence

Il ruolo dell’Intelligenza artificiale

Cresce l’attenzione per nuove tecnologie come l’Artificial Intelligence, considerata una minaccia da appena il 14% delle imprese, mentre il 40% già oggi sta utilizzando tecniche di Ai o Machine Learning per prevenire potenziali minacce e identificare gli attacchi ancora prima che si verifichino (17%), per ottimizzare la gestione di eventuali incidenti di sicurezza automatizzando il processo decisionale e il tempo di risposta (15%) e per intercettare possibili frodi (8%). Il 36% del campione sta pianificando di adottare soluzioni di intelligenza artificiale nel prossimo futuro. E nascono attori innovativi che propongono soluzioni di information security & privacy: sono 417 le startup a livello internazionale, per un totale di 4,75 miliardi di dollari di investimenti raccolti.

“Il mercato delle soluzioni per la sicurezza informatica e la privacy è dinamico, con consapevolezza e budget in crescita, anche se non con lo stesso ritmo del 2017”, spiega in una nota Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Information Security & Privacy. “Ma allo stesso tempo si registra un’accelerazione senza precedenti del numero e della varietà degli attacchi e le imprese non sembrano adeguatamente preparate. Gli investimenti effettuati negli ultimi anni sono una buona base di partenza, che ha permesso di mettere in campo strutture organizzative, procedure e competenze, ma è necessaria una maggiore pervasività delle iniziative di sicurezza a tutti i livelli manageriali e organizzativi delle imprese e un maggiore coinvolgimento dei profili dedicati alla security nelle strategie di business”.

Cyber rischi e coperture assicurative

Le principali finalità dei cyber attacchi subiti dalle imprese nello scenario attuale sono truffe, come phishing e business email compromise (83%), e estorsioni (78%), poi intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%). Ma nei prossimi tre anni le aziende temono soprattutto spionaggio (55%), truffe (51%), influenza e manipolazione dell’opinione pubblica (49%), acquisizione del controllo di sistemi come impianti di produzione (40%). I principali obiettivi degli attacchi sono oggi account email (91%) e social (68%), seguiti dai portali eCommerce (57%) e dai siti web (52%). Nel prossimo triennio, le imprese prevedono che gli hacker si concentreranno su device mobili (57%), infrastrutture critiche come reti elettriche, idriche e di telecomunicazioni (49%), smart home & building (49%) e veicoli connessi (48%). La principale vulnerabilità è costituita dal comportamento umano: per l’82% delle imprese la prima criticità è la distrazione e scarsa consapevolezza dei dipendenti, seguita da sistemi It obsoleti o eterogenei (41%) e da aggiornamenti e patch non effettuati regolarmente (39%). Per minimizzare il rischio, l’80% delle imprese ha avviato piani di formazione del personale.

Il mercato dell’assicurazione del rischio cyber prevede oggi svariate possibilità di copertura riguardanti la perdita o la divulgazione di dati personali e sensibili, la compromissione del sistema informativo e la sua interruzione di servizio. “A livello internazionale è un settore già molto radicato, mentre in Italia si trova ancora in una fase di sviluppo, seppure in crescita rispetto alla precedente rilevazione”, commenta Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy. “Il 33% delle imprese ha sottoscritto coperture assicurative di trasferimento del rischio cyber (+6%), di cui il 18% che ha scelto polizze completamente dedicate al cyber risk e il 15% che ha optato per assicurazioni generaliste che lo coprono parzialmente. Il 25% sta valutando se attivarle, il 30% è informato della possibilità ma non ha intenzione di farne uso, mentre il 12% non ne è a conoscenza”.

@RIPRODUZIONE RISERVATA