Osservatorio Information Security & Privacy

Cresce il mercato dell'information security: 972 milioni di euro ma imprese italiane in ritardo nella gestione di sicurezza e privacy

Pubblicato il 8 febbraio 2017

Cresce la consapevolezza sulla sicurezza informatica, ma le minacce su cloud, big data, Internet of Things, mobile e social richiedono nuovi modelli di organizzazione: solo il 39% delle grandi imprese ha un piano di investimento pluriennale, solo il 46% ha in organico un Chief Information Security Officer.
Quasi tutte le grandi imprese hanno azioni di sensibilizzazione sul comportamento dei dipendenti. Ma appena il 15% ha attivato assicurazioni sul rischio cyber.

In quello che sarà ricordato come ‘l’anno dell’Hack’, con la scoperta delle violazioni di 500 milioni di account Yahoo, le presunte azioni di cyberspionaggio durante le elezioni presidenziali americane, la crescita dei ransomware, l’attacco a uno dei principali DNS provider, cresce l’attenzione delle imprese italiane per la sicurezza informatica. Il mercato delle soluzioni di information security in Italia nel 2016 raggiunge i 972 milioni di euro, in crescita del 5% rispetto 2015, con una spesa concentrata tra le grandi imprese (74% del totale) suddivisa tra tecnologia (28%), servizi di integrazione IT e consulenza (29%), software (28%) e managed service (15%). Sebbene cresca la consapevolezza, di fronte alle nuove sfide poste dallo sviluppo di tecnologie come cloud, big data, Internet of Things, mobile e social, non è ancora diffuso un approccio di lungo periodo alla gestione della sicurezza e della privacy, con una chiara struttura di governo: solo il 39% delle grandi imprese ha un piano di investimento con orizzonte pluriennale e solo il 46% ha in organico in modo formalizzato la figura del Chief Information Security Officer, il profilo direzionale a capo della sicurezza. Sono alcuni dei risultati della ricerca dell’Osservatorio Information Security & Privacy (*) della School of Management del Politecnico di Milano, presentata in occasione del convegno ‘Cyber Crime: La minaccia invisibile che cambia il mondo’.

“Il cyber crime è una minaccia concreta anche se spesso invisibile, in grado di condizionare il mondo, come dimostrano i quotidiani fatti di cronaca, che richiede nuovi strumenti e modelli per farvi fronte” afferma Gabriele Faggioli, responsabile scientifico dell’Osservatorio Information Security & Privacy. “I nuovi trend dell’innovazione digitale come cloud, big data, Internet of Things, mobile e social richiedono nuove risposte non più rimandabili. Il nuovo Regolamento europeo sulla Protezione dei Dati Personali crea alcuni dei presupposti necessari per giungere a un quadro di riferimento, che richiede però di essere compreso ed attuato. Il percorso di gestione dell’Information Security & Privacy chiede alle aziende di mettere in campo adeguati modelli di governance, progettualità e soluzioni per affrontare la trasformazione”.

“Il mercato dell’information security in Italia nel 2016 vale 972 milioni di euro, con un tasso di crescita del 5% sul 2015, un valore importante che tuttavia non può tranquillizzarci” spiega Alessandro Piva, direttore dell’Osservatorio Information Security & Privacy. “Se analizziamo più in profondità i dati della ricerca, infatti, ci rendiamo conto di come le grandi organizzazioni italiane siano ancora indietro: oltre la metà non ha ancora una figura manageriale codificata per la gestione della sicurezza informatica, evidenziando un gap importante rispetto a quanto avviene in altri Paesi. Inoltre si denota un ritardo nella comprensione delle implicazioni dei trend dell’innovazione digitale quali cloud, IoT, big data, mobile, sulla gestione della sicurezza. Nel contesto attuale, servono modelli di governance più maturi e trasversali, assicurando il corretto mix di competenze per gestire tecnologie sempre più pervasive. Ed è necessario da una parte progettare sistemi in grado di predire i possibili attacchi, dall’altra sviluppare programmi di sensibilizzazione per gli utenti, al fine di promuovere comportamenti responsabili”.

I progetti 
I progetti di sicurezza delle aziende italiane nella sicurezza sono orientati principalmente all’identificazione dei rischi e alla protezione dagli attacchi, mentre sono ancora immaturi il supporto alla rilevazione degli eventi e poi la risposta e il ripristino. I progetti più diffusi tra le grandi imprese infatti sono i penetration test e la data security (51%), network security (48%), application security (45%), end-point security (43%), security information & event management (SIEM) (38%), messaging security (38%), web security (36%), identity governance & administration (IGA) (32%), threat intelligence (20%), transaction security (19%), social media security (16%).
Le policy maggiormente presenti invece riguardano il back up (89%), la gestione degli accessi logici (84%), la regolamentazione delle policy di sicurezza informatica (80%), la gestione e l’utilizzo dei device aziendali (72%), la gestione del ciclo di vita del dato (58%), l’utilizzo di social media e web (57%), le azioni da mettere in atto in risposta agli incidenti informatici (52%), le policy di classificazione dei dati (52%) e di criptazione degli stessi (39%).

Chief Information Security Officer e Data Protection Officer
Sono poche le aziende che hanno definito una struttura di governo chiara della security. Solo nel 46% delle grandi imprese è presente in modo formalizzato la figura del Chief Information Security Officer, nel 12% è presente ma non formalizzata, nel 9% è prevista l’introduzione nei prossimi 12 mesi. Nei restanti casi non esiste una figura ed il presidio dell’information security è demandato direttamente al Chief Information Officer (28%) o a figure esterne all’ ICT (5%). Il ‘ritardo’ italiano si conferma focalizzando le organizzazioni dove il Ciso è presente: nel 65% dei casi fa parte della direzione ICT, riportando al CIO, solo in un 10% dei casi riporta direttamente al board aziendale, nel resto riporta ad una funzione security corporate, a Risk management, operations, o in casi marginali a compliance, finance o altre strutture. “La bontà di un piano strategico di gestione della security e della privacy passa, necessariamente, dal disegno di una struttura di governo chiara, identificando un Chief Information Security Officer” spiega Faggioli. “Un ruolo che sta evolvendo verso un profilo completo, che affianca alle competenze tecnologiche e organizzative soft skill relazionali, conoscenze del dominio di business e capacità di sviluppare e governare un team complesso. Identificare il corretto mix delle competenze appena citate non è semplice e non è univocamente valido per tutte le situazioni: il ruolo ricoperto dal Ciso può essere anche manageriale, di controllo e supervisione dalla gestione del rischio alla compliance e la privacy”.
Nel 18% delle imprese è formalizzata invece la figura del Data Protection Officer, nel 15% è una presenza di tipo informale. Il 31% vuole introdurre nei prossimi 12 mesi, mentre il restante 34% afferma che per il momento non saranno inserite figure di questo tipo. Nel 2% dei casi la responsabilità è delegata ad una figura esterna dell’azienda.

Mobile
La quasi totalità delle aziende italiane (il 97%) mette a disposizione dei propri dipendenti device mobili, tra notebook, smartphone e tablet e mobile business app, con rischi non solo per il possibile furto o smarrimento dei dispositivi mobili, ma anche per i possibili attacchi cyber mirati. Il 74% delle imprese italiane ha iniziative specifiche per mitigare il rischio connesso alla Mobile Security, che riguardano sia l’introduzione di piattaforme e strumenti tecnologici specifici come soluzioni di MDM (Mobile Device Management) per limitare l’utilizzo di device mobili (61%), sia la definizione standardizzata e convenzionale di regole a cui gli utilizzatori di dispositivi devono attenersi quando accedono ai sistemi e ai dati business. Il 27% delle organizzazioni ha fissato norme che limitano l’accesso a particolari applicazioni e servizi da reti esterne all’azienda e il 61% ha stabilito specifiche policy per l’utilizzo dei device mobili.

Cloud
I principali rischi per gli ambienti cloud dipendono dal rapporto col fornitore: la minaccia più importante per il 63% delle imprese è la mancanza di controllo sulle operations del service provider, per il 44% il rock in col fornitore e il data breach, per il 41% la scarsa trasparenza rispetto agli obblighi contrattuali con il fornitore. Risulta quindi evidente che non sono più le minacce tecnologiche a preoccupare le aziende ma un’attenzione sempre maggiore va riposta nella stesura del contratto e nella gestione del rapporto con i provider.

Internet of Things
Con lo sviluppo dell’Internet of Things aumenta il numero di dispositivi connessi alla rete e i possibili punti di accesso per un attacco al sistema informativo aziendale. Il 47% delle organizzazioni non ha ancora messo in atto nessuna azione per tutelarsi in questo ambito, il 41% sta valutando possibili azioni, il 13% ha Policy di security by design nella progettazione di prodotti (la messa in sicurezza con misure come il monitoraggio continuo, l’utilizzo di credenziali e pratiche di programmazione migliori), il 10% utilizza soluzioni tecnologiche specifiche, il 9% ha Policy sulla rilevazione di dati nel perimetro aziendale e il 5% per la gestione di dati raccolti da oggetti smart.

Cyber intelligence
Le minacce informatiche diventano sempre più parte integrante del tessuto digitale aziendale e non è possibile evitare al 100% una violazione della sicurezza, così accanto all’approccio tradizionale basato sulla protezione dei sistemi, le aziende stanno cominciando ad adottare una logica di anticipazione delle minacce. L’analisi dei dati legati al mondo dell’information security è presidiata dal 57% delle organizzazioni tramite un presidio formale o informale, per l’8% c’è un presidio fuori delle attività core dell’information security, nel 35% il tema non è presidiato.
Il 32% delle imprese non utilizza dati per interpretare o anticipare criticità, mentre il restante 68% ha avviato azioni in questo ambito. L’integrazione di dati provenienti da varie fonti (dati sugli incidenti avvenuti a livello mondiale, indirizzi IP, log, URL sospette provenienti dalle segnalazioni degli utenti, ecc.) permette di sviluppare modelli di monitoraggio delle minacce, in grado di intercettare possibili anomalie e gestirle prima che la situazione diventi effettivamente critica. In alcune aziende esistono apposite strutture all’interno dei Security Operation Center, che analizzano e correlano i dati in ottica di Cyber Intelligence.

Le assicurazioni
Il mercato dell’assicurazione del rischio cyber è ancora immaturo in Italia. La copertura del rischio cyber è orientata a coprire i danni causati direttamente al sottoscrittore o a terze parti, dall’investigazione e gestione degli eventi, alla gestione delle istruttorie, alla copertura danni. Solo il 15% delle imprese ha già attive coperture assicurative, sebbene solo in poco più della metà dei casi (8%) si tratti di polizze espressamente orientate al rischio Cyber, mentre nei restanti casi si tratta di coperture generalistiche che la offrono tra le condizioni. Il 29% è in valutazione di coperture assicurative, mentre il 32% non ritiene sufficientemente maturo il mercato cyber insurance o non ritiene il problema rilevante.

Il fattore X
Nella sicurezza è fondamentale il fattore X, l’elemento di incertezza legato al comportamento umano, come la distrazione o la mancanza di consapevolezza, utilizzato spesso dai cybercriminali per fare breccia nei sistemi aziendali. Il 95% delle organizzazioni italiane ha già avviato azioni specifiche per sensibilizzare gli utenti aziendali. Le iniziative più diffuse riguardano comunicazioni periodiche inviate ai dipendenti tramite mail (77%) e corsi di formazione attraverso sessioni d’aula o e-learning (66%). Nel 28% dei casi la formazione viene inoltre supportata dalla distribuzione spot di materiale informativo (voucher, booklet, cartellonistica). Per il 28% delle organizzazioni si tratta di veri e propri progetti strutturati di sensibilizzazione tramite diversi strumenti e coprono spesso un orizzonte pluriennale. Vengono inoltre effettuate attività di vulnerability assessment sui dipendenti aziendali (28%), per esempio tramite l’invio di finte mail di phishing o simulazioni di attacchi informatici, che servono da un lato a misurare il livello di consapevolezza dei dipendenti, dall’altro a testare l’efficacia delle iniziative già portate avanti.

Le piccole-medie imprese
L’analisi sulla diffusione delle soluzioni di information security tra circa 800 piccole e medie imprese italiane rivela che il 93% delle PMI ha dedicato un budget nel 2016, sebbene questo non corrisponda necessariamente ad un utilizzo maturo e consapevole. Le principali motivazioni agli investimenti infatti sono l’adeguamento normativo (48%) e gli attacchi subiti in passato (35%), ma a volte seguono la necessità di rispondere a nuove esigenze tecnologiche (22%) o di business (31%). La maggior parte delle PMI ha soluzioni di sicurezza di base (76%) come antivirus ed antispam ed il 62% dichiara di disporre anche di soluzioni sofisticate, come ad esempio firewall o sistemi di intrusion detection. Un’organizzazione su quattro (25%) però si fa guidare dal buon senso, senza un approccio tecnologico definito. Il 46% ha policy aziendali ben definite, mentre solo il 10% ha programmi di formazione orientati ad aumentare la consapevolezza. L’approccio alla sicurezza nelle PMI è orientato prevalentemente all’identificazione (66%) e alla protezione (66%), molto meno alla rilevazione (12%) e alla risposta (15%). L’attenzione alla rilevazione cresce all’aumentare della dimensione di impresa, passando dall’11% delle piccole imprese al 20% delle medie.
“Le PMI sembrano sottovalutare la crescita della consapevolezza dei rischi tra i propri dipendenti” rileva Piva. “Solo il 9% delle piccole aziende (tra i 10 e i 49 addetti) ha specifici programmi di formazione per aumentare la consapevolezza delle risorse rispetto ai rischi informatici, mentre la rilevanza delle azioni di sensibilizzazione cresce con l’aumentare della dimensione aziendale, attestandosi al 20% per le aziende medio-piccole (tra i 50 e i 99 addetti) e al 24% per le imprese più grandi (tra i 100 e i 249 addetti)”.

* L’edizione 2016 dell’Osservatorio Information Security & Privacy è realizzata con il supporto di AlmavivA, BT Italia, Kaspersky Lab, Poste Italiane, Spike Reply, Symantec, Tesisquare, Trend Micro; Hitachi Systems CBT, Sinergy; Horizon Security; in collaborazione con Cefriel, Deib (Dipartimento di Elettronica, Informazione e Bioingegneria); con il patrocinio di Clusit.



Contenuti correlati

  • Farnell ispira il settore con Top Tech Voices

    Farnell ha lanciato una nuova serie di interviste, Top Tech Voices, che con la partecipazione di figure di spicco nel settore tecnologico mettono in evidenza le ultime tendenze tecnologiche con le concezioni più innovative. Nei sei episodi...

  • Digitalizzazione, IoT e cybersecurity: il nuovo volto del mobile hydraulics

    Grazie alle tecnologie IoT, il comparto mobile hydraulics si dirige verso una continua integrazione tra automazione, connettività e gestione intelligente dei dati. Il settore mobile hydraulics sta attraversando una trasformazione senza precedenti. L’integrazione delle tecnologie IoT e...

  • Shin Software trasformazione digitale digital twin sostenibilità ESG
    Il valore dei digital twin per la sostenibilità nell’offerta di Shin Software

    Shin Software, azienda attiva nello sviluppo di soluzioni innovative come la tecnologia Digital Twin, si caratterizza come partner strategico per l’industria, con un forte impegno verso i principi ESG. Recentemente, l’azienda ha partecipato alla fiera Automation &...

  • Safety+ per una sicurezza funzionale più produttiva

    B&R, divisione del gruppo ABB, presenta Safety+, un approccio aperto e innovativo alla programmazione delle funzioni di sicurezza. Gli sviluppatori possono ora utilizzare anche gli ultimi strumenti e metodi di ingegneria del software per applicazioni di sicurezza....

  • InnoPPE di Innodisk aumenta la sicurezza negli ambienti industriali ad alto rischio

    Innodisk, fornitore attivo a livello mondiale di soluzioni di intelligenza artificiale, ha introdotto l’innovativa soluzione di riconoscimento InnoPPE basata sull’intelligenza artificiale per migliorare la sicurezza e la conformità negli ambienti industriali ad alto rischio. Questa soluzione basata...

  • In campo ci sono IoT intelligenti

    Presentiamo un progetto di applicazione smart per serre, che riduce gli sprechi e migliora l’efficienza della forza lavoro nelle aziende agricole Le pianure costiere situate nella Provincia di Almería, nel sud della Spagna, ospitano serre che coprono...

  • Remira Italia trend gestione supply chain Matteo Sgatti
    I quattro trend nel futuro della supply chain secondo Remira Italia

    Investire nella connettività digitale, spingere verso tracciabilità e trasparenza, trovare nuove strategie per rendere le supply chain più resilienti, garantire l’integrità e la coerenza dei dati: queste le quattro tendenze identificate da Remira Italia, azienda specializzata nell’offerta...

  • IT e IoT sempre connessi

    Gruppo Gaser e ifm: una collaborazione che si concretizza in una profonda digitalizzazione degli impianti, così da consentire la tracciabilità e il monitoraggio dei processi di produzione e lo svecchiamento di macchine altrimenti obsolete Il racconto della...

  • Nell’ultimo numero di KEYnote, la rivista di Wibu-Systems: proteggere i modelli di AI e ML

    L’ultimo numero della rivista KEYnote, la pubblicazione semestrale presentata dagli specialisti di protezione e licensing di Wibu-Systems, è appena stata rilasciata ed è disponibile in vari formati digitali di facile lettura. L’edizione Autunno/Inverno copre una vasta gamma...

  • Omron Europe ottiene la certificazione IEC 62443-4-1

    Il reparto di ricerca e sviluppo di Omron Europe BV ha ottenuto la certificazione per lo standard IEC 62443-4-1 sui requisiti per lo sviluppo sicuro dei prodotti durante il loro intero ciclo di vita. Questa certificazione, rilasciata dall’ente riconosciuto a...

Scopri le novità scelte per te x