Cyber security, aumenta la spesa delle imprese italiane (ma è ancora troppo bassa)

Secondo i dati dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano la spesa delle aziende italiane è cresciuta del 9%, grazie soprattutto agli interventi di adeguamento al GDPR.

Pubblicato il 05 Feb 2019

CyberSecurity

Dopo la crescita a due cifre del 2017, che aveva fatto registrare un +12% prosegue il trend positivo per il mercato dell’information security che, nel 2018 ha raggiunto un valore di 1,19 miliardi di euro con un aumento del 9% rispetto all’anno precedente. Numeri che arrivano principalmente dalle grandi imprese, il 75%, tre aziende su quattro, e dai progetti per l’adeguamento al GDPR. Con gli investimenti aumentano le figure professionali dedicate: il Data Protection Officer oggi è presente nel 71% delle imprese (+46%), il Chief Information Security Officer nel 59%, mentre sono sempre di più i profili emergenti come il Cyber Risk Manager, l’Ethical Hacker e il Machine Learning Specialist.

Sono questi i principali fattori che emergono dalla ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano. “A fronte di un’accelerazione senza precedenti del numero e della varietà degli attacchi – spiega Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio – le imprese non sembrano adeguatamente preparate. Gli investimenti effettuati sono una buona base di partenza ma è necessaria una maggiore pervasività delle iniziative di sicurezza a tutti i livelli e un maggiore coinvolgimento dei profili dedicati alla security”. 

Gabriele Faggioli

Tutti i numeri, tra piccole grandi imprese e startup

Secondo la ricerca, il 63% delle grandi imprese ha aumentato il budget per la cyber sicurezza e nel 52% è presente un piano di investimenti pluriennale, anche se ancora quasi una su cinque non prevede ancora investimenti dedicati o stanzia risorse solo in caso di necessità. Nel 2018 la quasi totalità delle imprese, l’88%, ha dedicato uno specifico budget nel 2018 al GDPR, era il 58% un anno fa e quasi un’impresa su quattro ha già completato il processo di adeguamento. mentre il 59% ha progetti strutturati ancora in corso.  

Le piccole e medie imprese, invece, coprono soltanto il 25% della spesa in soluzioni di information security. Il 43% investe in sistemi di information security & privacy, con i progetti di adeguamento al GDPR come principale motivazione di spesa (70%). Circa nove su dieci hanno adottato soluzioni di sicurezza informatica di base, mentre le tecnologie più sofisticate (quali ad esempio Intrusion Detection e Identity & Access Management) sono adottate dal 64% delle medie imprese (+20%) e dal 39% delle piccole. 

Tra i fornitori di servizi sono 417 le startup che, a livello internazionale, sono state censite dall’Osservatorio. Il Nord America è l’area con più nuove imprese (60%), seguito da Europa (22%) e Asia (15%). Quasi metà delle startup rientra nella categoria “Enterprise Solution Security” (48%) e offre soluzioni di Identity & Access Management, applicazioni security-by-design e protezione dei dati aziendali o dell’utenza, mentre quelle più finanziate si occupano di “Security Foundation”, e vedono investimenti pari in media a 14,3 milioni di euro.

Tra truffe e spionaggio, cambia la percezione del rischio

Leggendo i numeri che sono stati elaborati dallo studio emerge anche un cambiamonete degli scenari che riguardano i cyber attacchi.  Se allo stato attuale, infatti, le imprese devono fronteggiare principalmente truffe, come phishing e business email compromise (83%), e estorsioni (78%), nei prossimi tre anni ci saranno nuovi rischi. Le aziende temono una crescita delle intrusioni a scopo di spionaggio (55%), ma anche l’influenza e manipolazione dell’opinione pubblica (49%), l’acquisizione del controllo di sistemi come impianti di produzione (40%). 

E se oggi i principali obiettivi degli attacchi sono gli account email (91%) e social (68%), nel prossimo triennio, le imprese prevedono che gli hacker si concentreranno su device mobili (57%), infrastrutture critiche come reti elettriche, idriche e di telecomunicazioni (49%), smart home & building (49%) e veicoli connessi (48%). Non cambia, invece, la causa del rischio, che rimane il comportamento umano con una prevalenza (82%) di distrazione e scarsa consapevolezza dei dipendenti, che si può, comunque, combattere attraverso adeguati piani di formazione su cui punta l’’80% delle imprese.

Assicurazioni, l’Italia resta indietro

Tra i temi analizzati dall’osservatorio anche quelli legati al mercato assicurativo che prevede coperture anche nel campo del cyber rischio. In Italia hanno sottoscritto coperture solo Il 33% delle imprese (+6%), di cui il 18% che ha scelto polizze completamente dedicate al cyber risk e il 15% che ha optato per assicurazioni generaliste che lo coprono parzialmente. 

“A livello internazionale è un settore già molto radicato – spiega Alessandro Piva, direttore dell’osservatorio – mentre in Italia si trova ancora in una fase di sviluppo, seppure in crescita rispetto alla precedente rilevazione. Ad ostacolare la crescita di questo comparto sono in primo luogo la difficoltà a misurare l’impatto finanziario di un eventuale incidente di sicurezza (64%) e l’incapacità delle aziende di valutare la propria esposizione ai rischi cyber (58%). 

CISO e DPO ecco le nuove professionalità

Secondo lo studio le aziende, sopratutto le più grandi, prevedono un aumento dell’organico dedicato alla gestione della security, e della privacy, con l’inserimento di nuovi profili come il Data Protection Officer (DPO), formalizzato nel 65% delle imprese e il Chief Information Security Officer (CISO), presente formalmente nel 47% delle aziende. Nel 37% dei casi analizzati non esiste una figura dedicata e sono il Chief Information Officer (30%) o funzioni diverse dall’ICT (7%) a occuparsi del presidio della cyber security, mentre l’8% si affida a una figura che si occupa sia di sicurezza fisica sia di sicurezza logica. 

Le altre figure professionali più diffuse in azienda sono il Security Administrator (a cui ricorre, con figure interne o consulenti esterni, l’86% del campione) che si occupa di rendere operative le soluzioni tecnologiche di security, il Cyber Risk Manager (79%), che identifica gli scenari di rischio e le minacce informatiche, e il Security Analyst (78%), che valuta le vulnerabilità di reti e servizi aziendali. A questi si aggiungono l’Ethical Hacker (76%), la cui mansione è simulare incidenti di sicurezza per testare le vulnerabilità, il Security Architect (65%), che verifica le soluzioni e le policy di security presenti in azienda, e il Security Engineer (61%), che monitora i sistemi e risponde agli incidenti.

Valuta la qualità di questo articolo

C
Fabrizio Cerignale

Giornalista professionista, con in tasca un vecchio diploma da perito elettronico. Free lance e mobile journalist per vocazione, collabora da oltre trent’anni con agenzie di stampa e quotidiani, televisioni e siti web, realizzando, articoli, video, reportage fotografici. Giornalista generalista ma con una grande passione per la tecnologia a 360 gradi, da quella quotidiana, che aiuta a vivere meglio, alla robotica all’automazione.

email Seguimi su

Articoli correlati

Articolo 1 di 4