Secondo i dati dell’Osservatorio Information Security & Privacy, per il terzo anno di seguito il mercato italiano dell’information security è in crescita. La spesa in sicurezza si concentra soprattutto in soluzioni di security, che raccolgono il 52% degli investimenti (in particolare per componenti di sicurezza più tradizionali), a fronte del 48% nei servizi che però crescono maggiormente (in crescita per il 45% delle aziende). La tecnologia al centro dell’attenzione è l’Artificial Intelligence, già impiegata per la gestione della sicurezza dal 45% delle grandi imprese.
Di seguito alcuni dei risultati della ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, presentata al convegno “Security-enabled transformation: la resa dei conti”.
–Il mercato dell’Information Security – Il 52% delle risorse è dedicato a soluzioni di sicurezza (in aumento del 26%rispetto al 2018), il restante 48% ai servizi (in crescita per il 45% delle aziende). Tra le soluzioni, la categoria che raccoglie la quota principale della spesa è la “Network & Wireless Security”, intesa come protezione della rete fisica e logica (36%), seguita dalla “Endpoint Security” (20%), che comprende postazioni fisse e dispositivi mobili, e dalla “Application Security” (19%). La protezione degli ambienti Cloud attrae il 13% della spesa e rappresenta la categoria con la crescita più elevata (in crescita per il 55% delle aziende). Vengono poi i dispositivi connessi dell’Internet of Things, col 5%, e un’ulteriore voce marginale in cui rientrano diversi aspetti di governance, che complessivamente coprono il 7% del budget.
–I modelli organizzativi per la gestione della security – Dalla ricerca emerge un diffuso ritardo nei modelli organizzativi e di gestione della sicurezza informatica: nel 40% delle imprese è assente una specifica funzione e una figura direzionale dedicata all’Information Security, la cui gestione è affidata ancora al CIO e all’IT. In più di un quarto del campione, inoltre, esiste una funzione esterna ai Sistemi Informativi, ma la figura responsabile della sicurezza (CISO o ruolo equivalente) riporta all’IT (27%). Sono poche le imprese in cui la funzione Security riporta a una funzione aziendale diversa dall’IT (17%) o direttamente al Board (16%).
–L’information security in ambito industriale – L’interconnessione di sistemi industriali e la sempre maggiore diffusione di dispositivi IoT pongono il problema della protezione degli ambienti OT (Operational Technologies). Il principale rischio di OT Security individuato dalle aziende è il fermo della produzione (54%), seguito dalla “safety” (20%), minacciata dall’interazione sempre più diretta fra operatori e macchine (ad esempio la robotica collaborativa), dall’alterazione o modifica della produzione (16%) e dal furto o perdita di dati confidenziali (10%). Per fronteggiare questi rischi, il 68% delle aziende effettua security assessment e/o audit su sistemi e reti OT e il 60% ha introdotto strumenti di sicurezza specifici per l’ambito industriale.
–L’impatto di AI e IoT – L’Osservatorio ha analizzato l’impatto dell’Artificial Intelligence e della Blockchain sull’information security. Solo il 44% dei CISO ha una conoscenza almeno discreta dell’AI, percentuale che scende al 28% quando si parla di Blockchain. Quattro imprese su dieci giudicano positivamente l’impiego della Blockchain per applicazioni di security, ma soltanto l’1% ha attivato un progetto e appena il 16% lo sta valutando per il futuro, soprattutto per garantire che il dato non venga modificato, per gestire la privacy e i diritti di accesso ai dati e per l’identificazione di dispositivi fisici connessi.
–GDPR, NIS e Cybersecurity Act – Il 55% delle imprese ha completato i progetti di adeguamento al GDPR (+31% sul 2018), nel 30% queste iniziative sono ancora in corso (erano il 58% un anno fa), il 5% si trova ancora nella fase di analisi dei requisiti, mentre nel 10% il tema non è ancora all’attenzione del Board. Con l’aumento delle imprese conformi crescono gli investimenti: il 45% ha aumentato il budget dedicato, nel 53% delle realtà è rimasto invariato, solo il 2% lo ha ridotto. L’aumento della mole di lavoro a cui è stata sottoposta l’Autorità Garante nell’ultimo anno e l’iniziale indulgenza prevista dalla normativa hanno limitato il numero di controlli al GDPR: solo il 2% ha dichiarato di aver subito ispezioni formali, l’89% non ha ricevuto controlli, mentre il 9% ha preferito non rispondere. Ma con la messa a regime del meccanismo sanzionatorio, il 45% di imprese che ancora non ha completato i progetti di adeguamento è chiamato ad accelerare il processo per non incorrere in sanzioni.
Il Cybersecurity Act, entrato in vigore il 27 giugno 2019 con l’obiettivo di creare un quadro europeo sulla certificazione della sicurezza informatica di prodotti ICT e servizi digitali, produrrà i primi effetti nei prossimi anni. Finora la percezione degli Executive è positiva: per il 67% consentirà alle aziende di scegliere i prodotti e servizi tecnologici con maggiori garanzie di sicurezza. Il 14% del campione teme però che gli Stati membri creeranno diversi meccanismi di rilascio delle certificazioni annullando lo sforzo di elaborare un quadro comune, mentre il 10% crede che le imprese si concentreranno più sulla vendita del prodotto che sulla garanzia di maggiore sicurezza. Il restante 9% ritiene che le aziende avranno vantaggi competitivi e di risparmio dei costi, in quanto non sarà più necessario seguire processi di certificazione nazionali.
–Le competenze – Dall’indagine dell’Osservatorio emerge un quadro positivo anche per quanto riguarda la presenza di competenze di security e data protection nelle imprese. Il 71% afferma che il team interno ha le competenze necessarie, ma fra queste il 30% sta cercando altre figure specializzate da introdurre in organico; resta tuttavia ancora elevata la percentuale di aziende sprovviste dei profili necessari per gestire la sicurezza (29%, di cui solo il 9% sta selezionando nuovi ruoli e il 20% si affida a consulenti esterni).
–L’assicurazione del rischio cyber – Il mercato della cyber insurance in Italia è ancora in fase di sviluppo ma crescono le aziende che stanno valutando polizze assicurative. Circa un terzo del campione ha attivato coperture assicurative di trasferimento del rischio cyber (in linea col 2018), suddivise fra imprese che hanno scelto polizze completamente dedicate al cyber risk (19%) e altre che hanno preferito assicurazioni generaliste che coprono in parte questo rischio (11%). Il 37% sta valutando (+12% sul 2018), il 23% non è al momento interessato, il 10% non le conosce. Solo metà del campione gestisce il rischio cyber con un processo di Risk Management che coinvolge l’intera azienda, il 40% affida questa attività alla funzione IT o a un’altra singola divisione, mentre nel 10% dei casi il cyber risk non viene nemmeno monitorato costantemente.
–Le PMI – Pur se in ritardo rispetto alle grandi imprese, le PMI mostrano un leggero miglioramento nella gestione dell’information security. Il 90% dispone di soluzioni di sicurezza di base come sistemi antivirus e antispam e una su due sta investendo per migliorare la propria dotazione di security. Nel 43% è presente un ruolo che si occupa di sicurezza informatica, anche se nella maggior parte dei casi non si tratta di un vero e proprio CISO, ma di una figura interna che gestisce gli strumenti aziendali e si occupa della relazione con i fornitori.