Information security, GDPR e cybercrime leve del mercato

Aumenta il mercato dell’information security, sostenuto dalla maggiore consapevolezza e dall’adeguamento al GDPR. Ma c’è ancora da fare, specie da parte delle PMI

Information security GDPR

C’è una data ben appuntata sul calendario di moltissime aziende italiane: 25 maggio 2018. In quel giorno, infatti, verrà applicato definitivamente, dopo una transizione durata due anni, il regolamento generale sulla protezione dei dati, o GDPR (General Data Protection Regulation). È lo strumento normativo voluto dalla Commissione europea, per tutelare maggiormente la privacy dei cittadini UE, rafforzandone e rendendo più omogenea la protezione dei dati personali.

«È un appuntamento che vede moltissime aziende in affanno e condizionerà moltissimo investimenti e sforzi delle imprese italiane, ma è anche una straordinaria opportunità per aumentare la consapevolezza e mettere in atto una serie di misure e interventi specifici». Lo ha affermato Mariano Corso, responsabile scientifico dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano in occasione della presentazione della ricerca GDPR e Security: un percorso impervio… a trazione integrale.

Adeguamento al GDPR, un traino considerevole

La ricerca, presentata ieri mattina a Milano, è stata realizzata attraverso un’indagine che ha visto coinvolti 1107 responsabili della sicurezza informatica di imprese italiane, oltre a una specifica ai risk manager e chief risk officer di 106 organizzazioni italiane e un’ulteriore indagine su 313 professionisti del settore sul tema data protection. Nella ricerca si pongono in evidenza vari dati, a partire da quello sul mercato della information security, che da 976 milioni di euro del 2016 ha superato il miliardo di euro nel 2017 (1.090 milioni), facendo segnare un +12%.

GDPR osservatorio PoliMI

Non solo: tra le priorità di investimento, quella dedicata alla cybersecurity è balzata dal decimo posto del 2016 al quarto in un solo anno.

A trainare gli investimenti c’è la necessità di adeguarsi alla normativa GDPR. Certo, ha fatto notare Gabriele Faggioli, presidente Clusit e responsabile scientifico dell’Osservatorio Information Security & Privacy, se si guarda ai dati riguardanti il panel di 160 grandi imprese, ancora l’8% dichiara una scarsa conoscenza delle implicazioni, ma considerando che solo un anno fa era il 23%, la situazione è migliorata parecchio. La riprova è che mentre nel 2016 erano solo il 9% le aziende in cui è già in corso un progetto strutturato di adeguamento al GDPR, l’anno scorso questa percentuale è salita al 51%.

Un’impresa su tre (il 34%) sta invece analizzando i requisiti richiesti e i piani di attuazione possibili. Alla maggiore conoscenza corrisponde anche un deciso incremento delle risorse staznaite: il 58% delle aziende ha un budget dedicato all’adeguamento al GDPR.

Osservatorio GDPR PoliMI

Permangono certamente le lacune: la prima è che il 42% le stesse grandi organizzazioni non ha ancora programmato di stanziare un budget dedicato – o prevede di farlo nei prossimi sei mesi. La seconda, più rimarchevole, è che il panel considerato riguarda in questo caso le grandi imprese, realtà quindi decisamente più strutturate e con budget più importanti.

Information security, le armi di difesa e gli investimenti

In ogni caso, evidenzia la ricerca, le PMI non sono così sprovvedute sul tema, quantomeno in ambito di cybersecurity. Il livello di adozione di soluzioni dedicate alla sicurezza informatica aumenta al crescere della dimensione aziendale, raggiungendo il 93% nelle medie imprese.

Restando proprio su queste ultime, circa la metà (44%) dispone di soluzioni tecnologiche ritenute sofisticate, quali sistemi di intrusion detection o di identity and access management. Nelle piccole imprese sono particolarmente diffusi strumenti di base quali antivirus e antispam, mentre le microimprese sono particolarmente sguarnite: il 30% di esse non adotta, infatti, alcun tipo di soluzione.

Restando sulle principali motivazioni di spesa delle PMI si rileva forte la richiesta di tutela dei dati dei clienti (45% del campione costituito da 947 realtà micro, piccole e medie), seguito dall’adeguamento alle normative (19%) e la necessità di difendersi dopo aver subito cyber attacchi (11%).

Come detto, all’aumentare della realtà aziendale, crescono gli investimenti e le soluzioni di information security. La quota prevalente (78%) di spesa specifica la detengono le grandi imprese.

Togliendo la quota dedicata all’adeguamento al GDPR, la spesa è ancora orientata principalmente alle componenti di sicurezza tradizionali, come la business continuity & disaster recovery (19%), la network security (14%) e security testing (9%). seguono le quote dedicate alle piattaforme di incident response (8%), ai sistemi di identity e access management (6%) e alle soluzioni di data leakage e data loss prevention (4%).

Diverso appare lo scenario se si vanno a osservare le prospettive di spesa per il futuro: le maggiori percentuali di incremento sono previste nel mobile e nel cloud computing, con il 63% delle imprese che dichiara un aumento della spesa dedicata alla protezione dei device mobili (che pesa circa il 4% sulla spesa attuale) e il 59% che definisce in crescita il budget relativo alla protezione degli ambienti di cloud computing (che attualmente copre il 3% della spesa). Seguono la security awareness & training (in crescita per il 56%) e la cyber insurance (indicata dal 52%, con una quota attuale di mercato del 2,5%).

Mercato della Information Security PoliMi

Crescono le competenze nelle grandi imprese…

Uno degli aspetti sottolineati durante il convegno di presentazione riguarda la necessità delle giuste competenze. Le aziende però, fa notare l’Osservatorio, si stanno attrezzando per potenziare i team dedicati alla gestione della sicurezza. Quattro grandi imprese su dieci (39%) prevedono un aumento in organico dei ruoli che gestiscono la cybersecurity e quasi la metà (49%) afferma che incrementerà il numero di figure preposte alla gestione della privacy.

Le nuove professioni in ambito securityQuali sono le figure emergenti? Certamente il Chief Information Security Officer (CISO), per il quale aumentano le responsabilità e le competenze richieste. Accanto, emergono altre figure con ruoli specialistici, come il Security Administrator, figura già prevista, inserita o comunque vagliata nel 76% del campione analizzato: esso si occupa di rendere operative le soluzioni tecnologiche di security; altre figura d’interesse crescente (per il 57% delle aziende campione) sono il Security Architect, cui è delegata la verifica delle soluzioni di security presenti in azienda, e il Security Engineer (56%), che monitora i sistemi e suggerisce modalità di risposta agli incidenti.

A stretta distanza nei desiderata aziendali c’è il Security Analyst (55%), che analizza le potenziali vulnerabilità di sistemi, reti e applicativi aziendali.

Un’altra figura che desta interesse è l’Ethical Hacker (39%): individua chi ha il compito di testare l’effettiva vulnerabilità dei sistemi aziendali. Nell’immaginario team di information security dovrebbe esserci anche il Security Developer (28%), specializzato nello sviluppo di soluzioni di security, e il Machine Learning Specialist (19%), che predispone e controlla strumenti di sicurezza in grado di trattare in tempo reale possibili minacce in modo automatico e cognitivo.

Passando poi all’ambito privacy, e che avrà un’importanza crescente data la prossima piena applicazione del regolamento generale sulla protezione dei dati, è il DPO – Data Protection Officer, il cui compito è facilitare il rispetto da parte delle organizzazioni delle disposizioni del GDPR. Complessivamente, il 28% del campione ha inserito in organico o collabora con un DPO: se nel 15% delle imprese la figura risulta formalizzata e nel 10% è una presenza informale, più della metà del campione (il 57%) afferma di avere intenzione di introdurre questa figura in azienda nel prossimo futuro.

… ma le PMI restano vulnerabili

Se si va ad analizzare lo scenario nelle PMI le cose cambiano radicalmente. Mentre nelle realtà medie il responsabile della information security è ricoperta da un vero e proprio responsabile IT, nelle realtà piccole e micro aziendale è il titolare stesso o il direttore generale a farne le veci. Ma quello che preoccupa è il fatto che in meno del 30% delle PMI sia presente la figura di un responsabile della sicurezza, mentre nel 15% non è prevista nessuna figura a presidio della information security.

Andrea Ballocchi
Informazioni su Andrea Ballocchi 92 Articoli
Giornalista freelance, si occupa da anni di tematiche legate alle energie rinnovabili ed efficienza energetica, edilizia e in generale a tutto quanto è legato al concetto di sostenibilità. Appassionato praticante di ciclismo, è autore del libro “Una vita da gregario” (La Memoria del Mondo editrice, prefazione di Vincenzo Nibali) e di un manuale “manutenzione della bicicletta”, edito da Giunti/Demetra.