Take
more.

Nel 2019, il mercato dell’Information Security ha raggiunto un valore di 1.317 milioni di euro, con un incremento dell’11% rispetto all’anno precedente. Lo ha detto Alessandro Piva, direttore dell’Osservatorio Information Security & Privacy, in occasione del convegno “Security-enabled transformation: la resa dei conti”, che si è svolto oggi al Politecnico di Milano.

Se dal dato generale si passa alla scomposizione per tipologie di sicurezza prevale la Network & Wireless Security (36%), seguita da Endpoint Security (20%) e Application Security (19%).

Dal campione dell’Osservatorio, composto da circa 700 imprese, sono inoltre emerse queste priorità di azione in ambito security:

• sensibilizzazione di dipendenti (70%);
• coinvolgimento del top management (61%);
• adeguamento alle normative (43%);
• aggiornamento dell’architettura dei sistemi IT esistenti (33%).

L’Information Security tema strategico

“Nel 2019 è maturata la consapevolezza che quello dell’information security e data protection sia ormai un tema strategico e imprescindibile per le organizzazioni e non più un ostacolo allo sviluppo del business – ha detto Piva – In un contesto di crescita diffusa emerge, in particolare, la tendenza verso l’utilizzo di servizi professionali e di managed services”.

Per quanto riguarda l’utilizzo dell’intelligenza artificiale in ambito security, il 34% delle aziende dichiara che è in fase di valutazione e il 31% ne prevede un uso marginale. Il 40% delle imprese ritiene inoltre la blockchain potenzialmente attrattiva in ambito security, ma ben il 42% dice di non averne ancora una conoscenza sufficiente per poter avere un’opinione (42%).

Mariano Corso, responsabile scientifico dell’Osservatorio, ha rivelato che nelle scelte organizzative nell’ambito dell’Information Security, il 65% delle aziende non si è neanche posta il problema di individuare una persona specifica per la funzione, mentre il 77% riscontra difficoltà a reperire figure specializzate di questo tipo.

Gabriele Faggioli, presidente di Clusit (Associazione italiana per la sicurezza informatica), ha ricordato come secondo l’Autorità Garante “la protezione dati è il presupposto ineludibile della sicurezza individuale e collettiva, tanto più necessaria all’epoca dei Big Data e dell’Internet of Things”.

Giorgia Dragoni, ricercatrice senior dell’Osservatorio, si è soffermata sul rischio cyber, che in un’azienda su due viene gestito all’interno di un processo integrato di risk management aziendale. “Bisogna però rilevare che il 10% dichiara di non monitorare il rischio – ha detto – E chi non avrà adottato un approccio maturo nel giro di pochi anni si troverà ad affrontare una situazione di forte criticità”.

Un aspetto da tenere in particolare considerazione è stato sottolineato da Stefano Zanero, professore associato del Politecnico di Milano: “Negli ultimi tempi gli attacchi si sono mossi sempre di più verso aziende medio-piccole e questo può creare problemi soprattutto in un paese come l’Italia, dove esiste un numero elevato di Pmi”.

Priorità alla creazione di una struttura organizzativa dedicata

Andrea Antonielli, ricercatore dell’Osservatorio Information Security & Privacy, si è soffermato sugli aspetti relativi al GDPR, il regolamento generale sulla protezione dei dati. Dalla ricerca è emerso che il 55% delle grandi imprese dichiara di aver completato il percorso di adeguamento normativo, ma il 45% non l’ha ancora terminato. Di questi, il 10% ammette di non conoscere in dettaglio le implicazioni del GDPR.

Il 76% delle imprese intervistate ha dichiarato che con il GDPR rispetto al passato sono cambiati i processi di gestione dei data breach. Per quanto riguarda il Data Protection Officer, nel 57% dei casi è una figura formalizzata interna all’azienda, nel 27% esterna.

“La creazione di una struttura organizzativa dedicata è uno snodo cruciale nel percorso verso un approccio consapevole e maturo di gestione della sicurezza informatica – ha concluso Antonielli – Il quadro che emerge dalla ricerca conferma il ritardo evidenziato negli scorsi anni, testimoniato in molti casi dall’assenza di figure direzionali dedicate e dal collocamento organizzativo generalmente non adeguato, soprattutto se confrontato con quanto avviene nel contesto internazionale”.