Pagina a cura di Antonio Longo

Ancora segno più per il mercato dell’Information security italiano. Nel 2019 ha raggiunto un valore pari a 1,317 miliardi di euro, in crescita di poco meno dell’11% rispetto ai dodici mesi precedenti. Mercato che era già cresciuto del 9% nel 2018 e del 12% nel 2017. Ma si rileva un diffuso ritardo nei modelli organizzativi e di gestione della sicurezza informatica: nel 40% delle imprese è assente, infatti, una specifica funzione e una figura direzionale dedicata all’Information security, la cui gestione è affidata ancora al Cio e all’It. A rilevare i trend è la ricerca condotta dall’Osservatorio Information security & privacy della School of management del Politecnico di Milano.
Le principali soluzioni adottate. Il 52% delle risorse impiegate dalle aziende è dedicato a soluzioni di sicurezza, in aumento del 26% rispetto al 2018, il restante 48% ai servizi, in crescita per il 45% delle aziende. Tra le soluzioni intraprese, al primo posto si colloca la spesa per «Network & Wireless Security», intesa come protezione della rete fisica e logica (36%), seguita dalla «Endpoint Security» (20%), che comprende postazioni fisse e dispositivi mobili, e dalla «Application Security» (19%). La protezione degli ambienti Cloud coinvolge il 13% della spesa e rappresenta la categoria con la crescita più elevata per il 55% delle aziende. Per quanto riguarda i trend dell’innovazione digitale, considerati come priorità di investimento nell’information security e data protection, le imprese indicano Cloud (67%), Mobile (43%) e Big Data (41%); seguono, nell’ordine, Industria 4.0 (39%), eCommerce & Payment (37%), Internet of Things (31%), Artificial Intelligence (27%), Blockchain (13%), 5G (10%) e Realtà Aumentata e Virtuale (7%).
I modelli organizzativi. In più di un quarto di aziende esiste una funzione esterna ai sistemi informativi, ma la figura responsabile della sicurezza, ossia Ciso o ruolo equivalente, si riporta all’It (27%). Sono poche le imprese in cui la funzione Security riporta a una funzione aziendale diversa dall’It (17%) o direttamente al Board di comando (16%). Al cospetto di tale scenario, oltre metà delle realtà boccia il modello di gestione della sicurezza impiegato. «La sicurezza informatica non è più percepita come un ostacolo all’adozione di nuove tecnologie e servizi, ma come un fattore fondamentale per il successo del business» dichiara Alessandro Piva, direttore dell’Osservatorio, «ma c’è ancora molta strada da fare nella maturità organizzativa. Ben il 40% delle imprese non ha una funzione specifica che si occupi di sicurezza informatica: questo genera incertezza e oltre un’impresa su due è insoddisfatta di come viene gestita». Pur se in ritardo rispetto alle grandi imprese, il 90% delle Pmi dispone di soluzioni di sicurezza di base, come sistemi antivirus e antispam, e una su due sta investendo per migliorare la propria dotazione di security.
Tra intelligenza artificiale e blockchain. L’Osservatorio evidenzia che il 44% dei Ciso ha una conoscenza almeno discreta dell’intelligenza artificiale, percentuale che scende al 28% quando si parla di blockchain.
Quattro imprese su dieci giudicano positivamente l’impiego della Blockchain per applicazioni di security ma solo l’1% ha attivato un progetto e appena il 16% lo sta valutando per il futuro. Più diffuso il consenso sulle capacità dell’AI di garantire più sicurezza rispetto ai sistemi tradizionali e agli operatori umani (rispettivamente 86% e 85%) e rendere il personale addetto più efficiente (82%), anche se la maggior parte del campione ritiene che l’AI non possa sostituire completamente il giudizio umano nel contesto della security (89%) e il 77% pensa che sia necessario dotarsi di profili esperti di tale tecnologia.
Gdpr avanti tutta. Il report rileva che il 55% delle imprese ha completato i progetti di adeguamento al Gdpr (regolamento Ue privacy), con un incremento del 31% rispetto al 2018. Nel 30% dei casi si tratta di iniziative in corso, il 5% delle imprese si trova nella fase di analisi dei requisiti mentre nel 10% il tema non è ancora all’attenzione del board di comando. Il 45% delle aziende ha aumentato il budget dedicato, nel 53% delle realtà è rimasto invariato, solo il 2% lo ha ridotto.
Nell’ambito delle azioni finalizzate a conformarsi alla direttiva Nis, recepita in Italia il 24 giugno 2018 e il cui scopo è la promozione della cultura di gestione del rischio e di segnalazione degli incidenti fra i principali operatori economici, solo il 6% delle imprese ha completato le attività richieste.
Rispetto, invece, al Cybersecurity Act, entrato in vigore il 27 giugno 2019 con l’obiettivo di creare un quadro europeo sulla certificazione della sicurezza informatica di prodotti Ict e servizi digitali, la percezione dei ceo è positiva, infatti per il 67% consentirà alle aziende di scegliere i prodotti e servizi tecnologici con maggiori garanzie di sicurezza. Il 14% del campione ha espresso, però, il timore che gli Stati membri creeranno diversi meccanismi di rilascio delle certificazioni, annullando lo sforzo di elaborare un quadro comune. «Anche dal punto di vista della privacy ci sono evidenti miglioramenti in relazione all’adeguamento al Gdpr, dove però esiste ancora un certo numero di aziende non conformi, con un diffuso ottimismo anche nei confronti del Cybersecurity Act» sottolinea Gabriele Faggioli, responsabile scientifico dell’Osservatorio, «allo stesso tempo, però, le minacce alla sicurezza diventano sempre più numerose e pericolose: per difendersi le imprese sono chiamate ad attivare logiche di security-by-design e strumenti di protezione in tempo reale».
L’assicurazione contro il cyber rischio. Il mercato della cyber insurance è ancora in fase di sviluppo. In base ai dati del report, crescono le aziende che stanno valutando la stipula di polizze assicurative: circa un terzo ha già attivato coperture assicurative di trasferimento del rischio cyber, il 19% ha scelto polizze totalmente dedicate al cyber risk, l’11% ha preferito assicurazioni generaliste che coprono in parte questo rischio, mentre il 37% sta ancora valutando, il 23% non è al momento interessato, il 10% non conosce tali tipologie di polizze.
Competenze e formazione. L’indagine dell’Osservatorio evidenzia che il 71% delle imprese sostiene che il team interno ha le competenze necessarie per affrontare i rischi informatici, il 30% fra queste sta comunque cercando altre figure specializzate da inserire in organico. Ma il rapporto sottolinea che il 29% delle aziende risulta sprovvisto dei profili necessari per gestire la sicurezza, nell’ambito di tale percentuale il 9% del campione sta selezionando nuovi ruoli mentre il 20% si affida a consulenti esterni. La figura più ricercata è quella del Security analyst, chiamato a valutare le vulnerabilità di reti, applicazioni e servizi proponendo soluzioni e accorgimenti pratici, seguita dal Security architect che cura il disegno armonico e coerente delle misure di security presenti in azienda, e dal Security Engineer che monitora i sistemi e propone soluzioni per rispondere agli incidenti.
In tema di privacy, nel 2019 è leggermente diminuita la presenza di Data protection officer (Dpo), inserito formalmente nel 57% delle imprese e informalmente nel 4%, ma è cresciuto del 9% il numero di imprese che delega questa responsabilità ad un consulente esterno. Cresce l’attenzione alla formazione delle risorse umane, infatti il 54% delle pmi ha attivato corsi di formazione sulla sicurezza informatica, contro il 33% nel 2018.
Vantaggi per il business. Le strategie finalizzate alla tutela dei dati portano alle aziende significativi vantaggi in termini di business, a prescindere dalla mera conformità al dettato normativo. È quanto emerge dalla terza edizione della ricerca «2020 Data Privacy Benchmark Study», condotta da Cisco su oltre 2.800 professionisti della sicurezza in 13 paesi, inclusa l’Italia.
Il report evidenzia, infatti, un ritorno sugli investimenti effettuati nell’ambito della riservatezza dei dati: a dichiararlo è il 70% delle aziende, rispetto al 40% registrato nel 2019. Secondo lo studio, l’esigenza dei clienti di una maggiore protezione e riservatezza dei dati, la minaccia costante di violazioni dei dati, un utilizzo improprio da parte di utenti autorizzati e non, la necessità di adeguarsi al Gdpr e alla normativa di settore hanno spinto gran parte delle aziende, in tutto il mondo, ad effettuare considerevoli investimenti per la tutela della privacy.
In particolare, dal report emerge che la maggior parte delle organizzazioni sta registrando ritorni molto positivi, in media le aziende ottengono benefici pari a 2,7 volte (2,4 per l’Italia) del loro investimento iniziale e oltre il 40% ottiene benefici pari ad almeno il doppio della spesa sostenuta in materia di privacy. Tra i vantaggi, le aziende segnalano una migliore agilità, un maggiore vantaggio competitivo, una maggiore attrattiva per gli investitori e una maggiore fiducia da parte dei clienti.
© Riproduzione riservata

Fonte:
logoitalia oggi7