Security: crescono gli investimenti, ma serve un salto culturale

Gli attacchi informatici sono uno dei rischi più gravi a cui può andare incontro oggi un’azienda. Gli investimenti crescono, ma la cybersecurity non è ancora in cima alle preoccupazioni delle imprese. I dati dell’Osservatorio del Politecnico di Milano.

Pubblicato il 02 Feb 2017

cyber-security-1952020_1280

Per il Fondo monetario internazionale, gli attacchi informatici sono uno dei rischi più gravi a cui può andare incontro oggi un’azienda. Tuttavia la cybersecurity non è ancora in cima alle preoccupazioni delle imprese. L’ultima ricerca dell’Osservatorio Information security & privacy della School of management del Politecnico di Milano evidenzia che se il mercato della sicurezza informatica in Italia nel 2016 ha totalizzato 972 milioni di euro di giro d’affari, con un incremento del 5% sull’anno precedente, le aziende non hanno ancora compreso la portata dei rischi e più della metà non ha un manager dedicato. Il 15% delle grandi imprese sotto esame ha dimostrato di aver sottoscritto un’assicurazione che copra anche i cyberdanni, ma solo l’8% ha scelto una polizza dedicata.

Nel frattempo è partito il conto alla rovescia per l’adeguamento al General data protection regulation (Gdpr), il nuovo regolamento europeo sul trattamento dei dati personali, a cui anche le aziende italiane dovranno conformarsi entro maggio del 2018. Il documento ha un capitolo dedicato sulla sicurezza e prevede che sia nominato un responsabile del trattamento dei dati, che risponde in caso di violazioni.

I numeri

I ricercatori del Politecnico hanno analizzato i programmi di cybersecurity di grandi imprese e pmi. Partiamo dalle prime. Solo il 46% di quelle intervistate ha nominato un chief information security officer, ossia un manager che si occupi di sicurezza informatica. Se si cerca un responsabile dei dati, lo si trova solo nel 18% dei casi. Qualcosa si muove: il 61% delle imprese ha introdotte piattaforme per limitare l’uso di smartphone e cellulari aziendali e il 68% ha avviato attività di cyber intelligence, per analizzare anomalie e criticità e difendersi da potenziali attacchi. Ma nell’Italia che si appresta alla rivoluzione dell’industria 4.0 il 47% delle aziende non ha ancora adottato contromisure per difendere gli oggetti connessi e solo il 10% ha acquistato soluzioni informatiche ad hoc.

Il 93% delle piccole e medie imprese ha dichiarato di avere un budget specifico per la sicurezza informatica, ma andando a fondo si scopre il 76% adopera antivirus di base. Secondo Gastone Nancini, country manager di Trend Micro Italia, “se il 2016 è stato l’anno dei ransomware, con un aumento del 400%, nel 2017 assisteremo a nuove metologie di attacco, sempre più difficili da bloccare”.

Nuove regole

Gabriele Faggioli, responsabile scientifico dell’Osservatorio Information security & privacy del Politecnico di Milano

Il Politecnico ha evidenziato che il 48% delle pmi investe in cybersecurity per adeguarsi alle norme. L’anno scorso è entrato in vigore il regolamento generale sulla protezione dei dati, che ora entra nella fase di recepimento da parte degli Stati. Dal 25 maggio del prossimo anno sarà applicabile e le aziende dovranno adeguarsi. Chi sgarra rischierà le sanzioni.

“L’Autorità garante per la protezione dei dati personali sta valutando un approccio soft law, con deroghe per il primo periodo e codici di condotta studiati insieme alle associazioni di categoria – spiega Gabriele Faggioli, responsabile scientifico dell’Osservatorio del Politecnico -. Finora l’Authority non ha avuto un atteggiamento punitivo, piuttosto educativo. Ma le sanzioni rappresentano un elemento da tenere da conto nella pianificazione finanziaria. Finora ci sono solo i massimali”.

Il fattore “persone”

Il successo delle difese informatiche nelle aziende dipende in buona parte dai lavoratori. L’educazione e l’attenzione del personale fa la differenza. Corrado Salvemini, responsabile della sicurezza delle informazioni di Carrefour Italia, alla presentazione dei dati del Politecnico ha spiegato che “la nostra azienda è arrivata al terzo ciclo di formazione sulla protezione dei dati. Abbiamo nove filoni informativi. Abbiamo sviluppato una settimana della cybersecurity, concentrando la formazione in pochi giorni”.

“Nei prossimi mesi rilasceremo una app tra i nostri dipendenti per raccogliere segnalazioni sul livello di sicurezza dei nostri sistemi – ha anticipato Nicola Sotira, responsabile tutela delle informazioni in Poste Italiane -. Sarà disponibile anche per altre aziende”. E fa capolino la questione millennials. “I millennials hanno la consapevolezza più bassa della cybersecurity – ha osservato Fabio Sammartino, pre-sales manager di Kaspersky Lab Italia -. Per loro la password è qualcosa che si frappone tra me e l’accesso alla posta elettronica e non c’è cultura di privacy e sicurezza”.

Valuta la qualità di questo articolo

Z
Luca Zorloni

Cronaca ed economia mi sono sembrate per anni mondi distanti dal mio futuro. E poi mi sono ritrovato cronista economico. Prima i fatti, poi le opinioni. Collaboro con Il Giorno e Wired e, da qualche mese, con Innovation Post.

email Seguimi su

Articoli correlati

Articolo 1 di 2