In Italia nel 2018 sono spesi 1,19 miliardi di euro in sicurezza, prevalentemente (75%) dalle grandi imprese, che hanno varato progetti di adeguamento al Gdpr. Complessivamente il 23% delle imprese si è già adeguata, il 59% ha progetti in corso, l’88% ha un budget dedicato. Il Data Protection Officer è presente in tre imprese su quattro e una su due ha inserito un Chief Information Security Officer.
Sono i dati salienti della ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano.
Per Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy, “Siamo di fronte a un processo dirompente per quanto riguarda la gestione della sicurezza, che porrà nei prossimi mesi e anni sfide rilevanti. Le organizzazioni sono chiamate a internalizzare meccanismi di adattamento e a sviluppare regole istintive, da affiancare a strumenti, processi e competenze”.
Con i cyber attacchi in crescita esponenziale, quindi, le imprese italiane aumentano gli investimenti sulla prevenzione dei rischi.
Il mercato italiano delle soluzioni di information security & privacy nel 2018 ha raggiunto il valore di 1,19 miliardi di euro crescendo del 9% (dopo il +12% fatto registrare nel 2017). Le grandi imprese, con il 75% della spesa complessiva, si concentrano su adeguamento al Gdpr e componenti di sicurezza più tradizionali (come Network Security, Business Continuity & Disaster Recovery, Endpoint Security). Il 63% delle grandi imprese ha aumentato il budget per la cybersecurity e nel 52% è presente un piano di investimenti pluriennale, anche se ancora quasi una su cinque non prevede ancora investimenti dedicati o stanzia risorse solo in caso di necessità.
La misura dell’effetto Gdpr
Per l’adeguamento alla normativa europea sulla protezione dei dati Gdpr l’88% delle imprese ha dedicato uno specifico budget nel 2018 (era il 58% un anno fa).
Quasi un’impresa su quattro ha già completato il processo di adeguamento al Gdpr, mentre il 59% ha progetti strutturati ancora in corso.
E con gli investimenti aumentano le figure professionali dedicate: il Data Protection Officer oggi è presente nel 71% delle imprese (+46%), il Chief Information Security Officer nel 59%, mentre sono sempre di più i profili emergenti come il Cyber Risk Manager, l’Ethical Hacker e il Machine Learning Specialist.
Cresce l’attenzione per nuove tecnologie come l’intelligenza artificiale, considerata una minaccia da appena il 14% delle imprese, mentre il 40% già la impiega per prevenire potenziali minacce e frodi e gestire la risposta a incidenti di sicurezza.
E nascono attori innovativi che propongono soluzioni di information security & privacy: sono 417 le startup a livello internazionale, per un totale di 4,75 miliardi di dollari di investimenti raccolti.
A cosa puntano i cyber attacchi
Le principali finalità dei cyber attacchi subiti dalle imprese nello scenario attuale sono truffe, come phishing e business email compromise (83%), e estorsioni (78%), poi intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%).
Ma nei prossimi tre anni le aziende temono soprattutto spionaggio (55%), truffe (51%), influenza e manipolazione dell’opinione pubblica (49%), acquisizione del controllo di sistemi come impianti di produzione (40%).
I principali obiettivi degli attacchi sono oggi account email (91%) e social (68%), seguiti dai portali eCommerce (57%) e dai siti web (52%). Nel prossimo triennio, le imprese prevedono che gli hacker si concentreranno su device mobili (57%), infrastrutture critiche come reti elettriche, idriche e di telecomunicazioni (49%), smart home & building (49%) e veicoli connessi (48%).
La principale vulnerabilità è costituita dal comportamento umano: per l’82% delle imprese la prima criticità è la distrazione e scarsa consapevolezza dei dipendenti, seguita da sistemi IT obsoleti o eterogenei (41%) e da aggiornamenti e patch non effettuati regolarmente (39%). Per minimizzare il rischio, l’80% delle imprese ha avviato piani di formazione del personale.
Per Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Information Security & Privacy “si registra un’accelerazione senza precedenti del numero e della varietà degli attacchi e le imprese non sembrano adeguatamente preparate. Gli investimenti effettuati negli ultimi anni sono una buona base di partenza, che ha permesso di mettere in campo strutture organizzative, procedure e competenze, ma è necessaria una maggiore pervasività delle iniziative di sicurezza a tutti i livelli manageriali e organizzativi delle imprese e un maggiore coinvolgimento dei profili dedicati alla security nelle strategie di business”.
