Il mercato dell’assicurazione del rischio cyber oggi prevede svariate possibilità di copertura riguardanti la perdita o la divulgazione di dati personali e sensibili, la compromissione del sistema informativo e la sua interruzione di servizio, che possono tutelare danni causati a terzi o all’azienda stessa.
Il CISO e i nuovi ruoli emergenti
A dimostrazione della crescente attenzione all’information security, le aziende si stanno attrezzando per potenziare i team dedicati alla gestione della sicurezza. Quattro grandi imprese su dieci (39%) prevedono un aumento in organico dei ruoli che gestiscono la cyber security e quasi la metà afferma che incrementerà il numero di figure preposte alla gestione della privacy (49%), mentre soltanto rispettivamente il 2% e l’1% prevede una diminuzione del personale dedicato a queste funzioni.
In questo contesto, aumentano le responsabilità e le competenze richieste al Chief Information Security Officer (CISO), figura che alle competenze tecnologiche e organizzative deve affiancare conoscenza di business, capacità relazionali e abilità nel gestire un team. Accanto al CISO, emergono altre figure con ruoli specialistici. Tra i più diffusi spicca il Security Administrator, già inserito o in fase di valutazione nel 76% del campione analizzato, che si occupa di rendere operative le soluzioni tecnologiche di security, seguito dal Security Architect (57%), che si occupa di verificare le soluzioni di security presenti in azienda, e il Security Engineer (56%), che monitora i sistemi e suggerisce modalità di risposta agli incidenti. Le altre figure emergenti sono il Security Analyst (55%), che analizza le potenziali vulnerabilità di sistemi, reti e applicativi aziendali, l’Ethical Hacker (39%), che ha il compito di testare l’effettiva vulnerabilità dei sistemi aziendali, il Security Developer (28%), che si occupa di sviluppare soluzioni di security, e il Machine Learning Specialist (19%), che predispone e controlla strumenti di sicurezza in grado di trattare in tempo reale possibili minacce in modo automatico e cognitivo.
Restringendo il campo all’ambito privacy, cresce l’importanza del Data Protection Officer (DPO), che ha il compito di facilitare il rispetto da parte delle organizzazioni delle disposizioni del GDPR. Complessivamente, il 28% del campione ha inserito in organico o collabora con un DPO: nel 15% delle imprese la figura risulta formalizzata, nel 10% è una presenza informale e nel 3% questa funzione viene delegata a una persona esterna. Migliorano invece le prospettive di inserimento di questa figura: il 57% del campione dichiara di voler introdurre un DPO in azienda nel prossimo futuro (era il 31% nel 2016) e soltanto il 15% afferma di non prevederne l’inserimento.
La data protection nelle imprese Il sondaggio sulla percezione della data protection nelle imprese italiane rivela che per tre professionisti del settore su quattro (74%) il tema è rilevante o fondamentale per l’organizzazione in cui lavorano. L’elevato interesse si scontra però con l’ancora alto numero di aziende, 39%, che non ha in organico risorse dedicate. Una percentuale analoga, il 40%, ha del personale dedicato, mentre il 28% si affida consulenti esterni. Nonostante il personale interno alle aziende sembri ancora numericamente inadeguato, ben il 75% dei professionisti dichiara che la propria organizzazione sta adottando le soluzioni necessarie per gestire gli aspetti di data protection.
Le principali sfide individuate dal campione sono la sensibilizzazione del personale (67%), la scelta di un corretto modello di gestione della data protection (64%), l’applicazione della regolamentazione (53%), l’integrazione della documentazione relativa alla privacy (40%) e l’identificazione delle risorse dedicate (39%). Oltre alle azioni già intraprese, il 68% delle imprese manifesta l’intenzione di aumentare gli investimenti in data protection. Secondo i professionisti, gli interventi su cui le aziende dovrebbero concentrarsi sono la formazione del personale (51%), la definizione di ruoli e responsabilità specifiche (44%) e la creazione di un team dedicato (36%).
Le PMI
Le piccole e medie imprese si dividono soltanto una parte minoritaria della spesa in soluzioni di information security, pari al 22%, con il livello di spesa e di adozione delle tecnologie di cyber sicurezza che aumenta al crescere delle dimensioni aziendali. Il 93% delle medie imprese utilizza soluzioni di security, di cui il 44% adotta strumenti sofisticati, come Intrusion Detection e Access Management.
Nelle piccole sono diffuse soluzioni più basilari, come Antivirus e Antispam, mentre le microimprese si rivelano le più esposte agli attacchi: ben il 30% non prevede alcun tipo di difesa contro le cyber minacce. Lo stesso gap dimensionale è in ambito organizzativo: soltanto nel 30% delle PMI è presente un responsabile cyber security, nella maggior parte dei casi l’imprenditore stesso o il direttore generale, mentre il 15% non prevede nessuna figura nella gestione di questa funzione. Un altro divario evidente, infine, è quello fra Nord e Sud del Paese, con il 40% delle imprese del Nord Ovest e il 30% di quelle del Nord Est che utilizzano soluzioni di information security, contro il 19% delle aziende del Centro e il 15% di quelle del Sud.
Il mercato dell’assicurazione del rischio cyber oggi prevede svariate possibilità di copertura riguardanti la perdita o la divulgazione di dati personali e sensibili, la compromissione del sistema informativo e la sua interruzione di servizio, che possono tutelare danni causati a terzi o all’azienda stessa.
A dimostrazione della crescente attenzione all’information security, le aziende si stanno attrezzando per potenziare i team dedicati alla gestione della sicurezza. Quattro grandi imprese su dieci (39%) prevedono un aumento in organico dei ruoli che gestiscono la cyber security e quasi la metà afferma che incrementerà il numero di figure preposte alla gestione della privacy (49%), mentre soltanto rispettivamente il 2% e l’1% prevede una diminuzione del personale dedicato a queste funzioni.
