Il mercato della information security in Italia non conosce crisi, e cresce per il terzo anno consecutivo. In valore assoluto si tratta di un giro d’affari rilevante, che nel 2019 ha raggiunto la cifra di 1,31 miliardi di euro (+11% rispetto al 2018)
A fotografare con precisione l’andamento del mercato è l’Osservatorio Information Security & Privacy del Politecnico di Milano. Secondo il rapporto, la spesa in sicurezza si concentra soprattutto in soluzioni di security, che raccolgono il 52% degli investimenti, a fronte del 48% nei servizi che però crescono maggiormente (in crescita per il 45% delle aziende). La tecnologia al centro dell’attenzione è l’Artificial Intelligence, già impiegata per la gestione della sicurezza dal 45% delle grandi imprese.
A fine 2019, il 55% delle imprese ha completato l’adeguamento al Gdpr (erano il 24% lo scorso anno), il 45% ha aumentato gli investimenti a questo scopo e il 61% oggi ha in forza all’interno della propria organizzazione un Data Protection Officer.
Ora si guarda agli effetti del Cybersecurity Act, che ha definito un sistema di certificazione per la sicurezza informatica a livello europeo e che per il 76% degli Executive porterà più garanzie di sicurezza, uniformità normativa, vantaggi competitivi e calo dei costi.
La spinta normativa e la crescita degli investimenti trainano la domanda di competenze nell’information security. Il 71% delle grandi imprese italiane afferma che il team interno ha già le competenze necessarie, il 40% sta cercando nuovi profili. In particolare, il 51% attualmente è alla ricerca di Security Analyst, il 45% di Security Architect e il 31% Security Engineer, figure quindi in cima alle richieste dei recruiter. Appare ancora scarsa, però, la maturità organizzativa delle imprese: nel 40% delle organizzazioni non esiste una specifica funzione Information Security, che rimane all’interno dell’IT, e il responsabile della sicurezza è lo stesso Cio.
I trend dell’innovazione digitale considerati priorità di investimento nell’information security e data protection indicati dalle imprese nell’anno appena trascorso sono Cloud (67%), Mobile (43%) e Big Data (41%). Seguono Industria 4.0 (39%), eCommerce & Payment (37%), Internet of Things (31%), Artificial Intelligence (27%), Blockchain (13%), 5G (10%) e Realtà Aumentata e Virtuale (7%).
Dalla ricerca emerge un diffuso ritardo nei modelli organizzativi e di gestione della sicurezza informatica: nel 40% delle imprese è assente una specifica funzione e una figura direzionale dedicata all’Information Security, la cui gestione è affidata ancora al Cio e all’IT. In più di un quarto del campione, inoltre, esiste una funzione esterna ai Sistemi Informativi, ma la figura responsabile della sicurezza (Ciso o ruolo equivalente) riporta all’IT (27%). Sono poche le imprese in cui la funzione Security riporta a una funzione aziendale diversa dall’IT (17%) o direttamente al Board (16%).
La scarsa maturità organizzativa si riflette nella mancanza di soddisfazione, con oltre metà delle realtà che boccia il modello di gestione della sicurezza impiegato. L’insoddisfazione è più elevata dove la funzione Security riporta alla divisione IT (65%), mentre è minima nelle realtà in cui il Ciso riferisce direttamente al Board (il 90% è contento della struttura organizzativa utilizzata). Più strutturata la gestione del fattore umano: nel 55% del campione è attivo un piano formativo pluriennale che coinvolge l’intero personale, nel 25% la formazione è rivolta alle sole divisioni più sensibili al tema (come IT, Risk Management e Compliance), mentre il 20% non ha un progetto formativo strutturato.
Pur se in ritardo rispetto alle grandi imprese, le Pmi mostrano un leggero miglioramento nella gestione dell’information security. Il 90% dispone di soluzioni di sicurezza di base come sistemi antivirus e antispam e una su due sta investendo per migliorare la propria dotazione di security. Nel 43% è presente un ruolo che si occupa di sicurezza informatica, anche se nella maggior parte dei casi non si tratta di un vero e proprio Ciso, ma di una figura interna che gestisce gli strumenti aziendali e si occupa della relazione con i fornitori.
Cresce l’attenzione alla formazione: il 54% delle Pmi ha attivato corsi di formazione sulla sicurezza informatica, contro il 33% nel 2018. Si intravedono progressi anche nella gestione della privacy e della protezione dei dati. Solo il 9% delle Pmi non conosce il Gdpr(il 2% fra le medie imprese) e il 67% ha attivato progetti di adeguamento alle normative, seppur spesso limitati ad attività che richiedono investimenti contenuti. Il 44% ha definito un ruolo dedicato alla privacy, percentuale che sale al 53% fra le medie imprese. Nel complesso, tuttavia, le Pmi faticano a prendere consapevolezza sugli impatti e sui rischi di una cattiva gestione della sicurezza informatica.