Per il terzo anno consecutivo cresce il mercato della cybersecurity in Italia, che nel 2019 raggiunge un valore di 1,317 miliardi di euro, in crescita di poco meno dell’11% rispetto all’anno precedente. La spesa in sicurezza si concentra soprattutto in soluzioni di security, che raccolgono il 52% degli investimenti, a fronte del 48% nei servizi che però crescono maggiormente. La tecnologia al centro dell’attenzione è l’Artificial Intelligence, già impiegata per la gestione della sicurezza dal 45% delle grandi imprese.
Questi i dati di sintesi della ricerca dell'Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano*, presentata in occasione del convegno “Security-enabled transformation: la resa dei conti”.
“Il mercato italiano dell’Information Security si conferma dinamico e in crescita anche nel 2019. La sicurezza informatica non è più percepita come un ostacolo all’adozione di nuove tecnologie e servizi, ma come un fattore fondamentale per il successo del business – ha affermato Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy (nella foto) - ma c’è ancora molta strada da fare nella maturità organizzativa. Ben il 40% delle imprese non ha una funzione specifica che si occupi di sicurezza informatica: questo genera incertezza e oltre un’impresa su due è insoddisfatta di come viene gestita. Emerge la necessità di adottare un modello integrato di governance della security che permetta di definire modalità di intervento uniformi e monitorare in maniera completa e affidabile le potenziali minacce”.
Fronte normativo
Relativamente al Gdpr, a fine 2019 il 55% delle imprese ha completato l’adeguamento , il 45% ha aumentato gli investimenti a questo scopo e il 61% oggi ha in forza all’interno della propria organizzazione un Data Protection Officer. Ora si guarda agli effetti del Cybersecurity Act, che ha definito un sistema di certificazione per la sicurezza informatica a livello europeo e che per il 76% degli Executive porterà più garanzie di sicurezza, uniformità normativa, vantaggi competitivi e calo dei costi.
“Anche dal punto di vista della privacy ci sono evidenti miglioramenti in relazione all’adeguamento al Gdpr, dove però esiste ancora un certo numero di aziende non conformi, con e un diffuso ottimismo anche nei confronti del Cybersecurity Act - ha affermato Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Information Security & Privacy -. Allo stesso tempo, però, le minacce alla sicurezza diventano sempre più numerose e pericolose: per difendersi le imprese sono chiamate ad attivare logiche di security-by-design e strumenti di protezione in tempo reale”.
Più indietro le iniziative per la conformità alla Direttiva NIS, recepita in Italia il 24 Giugno 2018, che promuove una cultura di gestione del rischio e di segnalazione degli incidenti fra i principali operatori economici. Solo il 6% ha completato le attività richieste, il 12% si sta adeguando ai requisiti, il 16% sta valutando cosa fare, il 24% non si è ancora attivato mentre il restante 42% dichiara di non essere coinvolto dalla normativa.
Dall'Osservatorio il mercato dell'information security
Il 52% delle risorse è dedicato a soluzioni di sicurezza, mentre il restante 48% ai servizi. Tra le soluzioni, la categoria che raccoglie la quota principale della spesa è la “Network & Wireless Security”, intesa come protezione della rete fisica e logica (36%), seguita dalla “Endpoint Security” (20%), che comprende postazioni fisse e dispositivi mobili, e dalla “Application Security” (19%). La protezione degli ambienti Cloud attrae il 13% della spesa e rappresenta la categoria con la crescita più elevata (in crescita per il 55% delle aziende). Vengono poi i dispositivi connessi dell’Internet of Things, col 5%, e un’ulteriore voce marginale in cui rientrano diversi aspetti di governance, che complessivamente coprono il 7% del budget. I servizi più finanziati sono quelli offerti da fornitori esterni all’azienda per progetti specifici (professional services, 54%), ma quelli più in crescita sono i servizi offerti in maniera continuativa da provider esterni all’organizzazione per garantire il supporto e la manutenzione dei sistemi informativi aziendali (in aumento nel 45% delle organizzazioni).
Le Pmi, pur se in ritardo rispetto alle grandi imprese, mostrano un leggero miglioramento nella gestione dell’information security. Il 90% dispone di soluzioni di sicurezza di base come sistemi antivirus e antispam e una su due sta investendo per migliorare la propria dotazione di security. Nel 43% è presente un ruolo che si occupa di sicurezza informatica, anche se nella maggior parte dei casi non si tratta di un vero e proprio CISO, ma di una figura interna che gestisce gli strumenti aziendali e si occupa della relazione con i fornitori.
Ambito industriale: cresce l'attenzione verso l'OT Security
La maggiore diffusione di dispositivi IoT pongono il problema della protezione degli ambienti OT (Operational Technologies). Il principale rischio di OT Security individuato dalle aziende è il fermo della produzione (54%), seguito dalla “safety” (20%), minacciata dall’interazione sempre più diretta fra operatori e macchine (ad esempio la robotica collaborativa), dall’alterazione o modifica della produzione (16%) e dal furto o perdita di dati confidenziali (10%). Per fronteggiare questi rischi, il 68% delle aziende effettua security assessment e/o audit su sistemi e reti OT e il 60% ha introdotto strumenti di sicurezza specifici per l’ambito industriale.
La gestione dell’OT Security all’interno delle grandi aziende viene affidata nella maggioranza dei casi alla funzione IT (47%), mentre è più marginale il ruolo delle divisioni Information Security (11%) e Operations (4%). Il 22% non ha ancora inserito figure specializzate ma intende farlo nel corso del 2020, il 30% non ha intenzione di introdurle in futuro.
Security Analyst, Security Architect, Security Engineer, le figure richieste
La spinta normativa e la crescita degli investimenti trainano la domanda di competenze nell’information security. Il 71% delle grandi imprese italiane afferma che il team interno ha già le competenze necessarie, il 40% sta cercando nuovi profili. In particolare, il 51% attualmente è alla ricerca di Security Analyst, il 45% di Security Architect e il 31% Security Engineer, figure quindi in cima alle richieste dei recruiter. Appare ancora scarsa, però, la maturità organizzativa delle imprese: nel 40% delle organizzazioni non esiste una specifica funzione Information Security, che rimane all’interno dell’IT, e il responsabile della sicurezza è lo stesso CIO.
AI, IOT, Blockchain, quale impatto sulla cybersecurity
L’Osservatorio ha analizzato l’impatto dell’Artificial Intelligence e della Blockchain sull’information security. Solo il 44% dei CISO ha una conoscenza almeno discreta dell’AI, percentuale che scende al 28% quando si parla di Blockchain. Quattro imprese su dieci giudicano positivamente l’impiego della Blockchain per applicazioni di security, ma soltanto l’1% ha attivato un progetto e appena il 16% lo sta valutando per il futuro, soprattutto per garantire che il dato non venga modificato, per gestire la privacy e i diritti di accesso ai dati e per l’identificazione di dispositivi fisici connessi.
Assicurare il cyber rischio
Il mercato della cyber insurance in Italia è ancora in fase di sviluppo ma crescono le aziende che stanno valutando polizze assicurative. Circa un terzo del campione ha attivato coperture assicurative di trasferimento del rischio cyber (in linea col 2018), suddivise fra imprese che hanno scelto polizze completamente dedicate al cyber risk (19%) e altre che hanno preferito assicurazioni generaliste che coprono in parte questo rischio (11%). Il 37% sta valutando (+12% sul 2018), il 23% non è al momento interessato, il 10% non le conosce. Solo metà del campione gestisce il rischio cyber con un processo di Risk Management che coinvolge l’intera azienda, il 40% affida questa attività alla funzione IT o a un’altra singola divisione, mentre nel 10% dei casi il cyber risk non viene nemmeno monitorato costantemente.
