Aumentano gli attacchi alla sicurezza informatica, crescono quindi gli investimenti in cybersecurity, i profili professionali dedicati alla protezione, anche se non abbastanza… È quanto emerge dagli ultimi dati dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, presentati questa mattina al convegno “Winter is coming: adapt to react”.
“Il mercato delle soluzioni per la sicurezza informatica e la privacy è dinamico – ha affermato Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio Information Security & Privacy – con consapevolezza e budget in crescita, anche se non con lo stesso ritmo del 2017. Ma allo stesso tempo si registra un’accelerazione senza precedenti del numero e della varietà degli attacchi e le imprese non sembrano adeguatamente preparate. Gli investimenti effettuati negli ultimi anni sono una buona base di partenza, che ha permesso di mettere in campo strutture organizzative, procedure e competenze, ma è necessaria una maggiore pervasività delle iniziative di sicurezza a tutti i livelli manageriali e organizzativi delle imprese e un maggiore coinvolgimento dei profili dedicati alla security nelle strategie di business”.
“Oggi – ha aggiunto Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy – per le organizzazioni è necessario adattarsi al cambiamento per evitare di venirne travolte. Siamo di fronte a un processo dirompente per quanto riguarda la gestione della sicurezza, che porrà nei prossimi mesi e anni sfide rilevanti. Le organizzazioni sono chiamate a internalizzare meccanismi di adattamento e a sviluppare regole istintive, da affiancare a strumenti, processi e competenze, per affrontare questa sfida e reagire in modo proattivo alle minacce che si troveranno ad affrontare”.
Le principali finalità dei cyber attacchi subiti dalle imprese nello scenario attuale sono truffe, come phishing e business email compromise (83%), e estorsioni (78%), poi intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%). Ma nei prossimi tre anni le aziende temono soprattutto spionaggio (55%), truffe (51%), influenza e manipolazione dell’opinione pubblica (49%), acquisizione del controllo di sistemi come impianti di produzione (40%). I principali obiettivi degli attacchi sono oggi account email (91%) e social (68%), seguiti dai portali eCommerce (57%) e dai siti web (52%). Nel prossimo triennio, le imprese prevedono che gli hacker si concentreranno su device mobili (57%), infrastrutture critiche come reti elettriche, idriche e di telecomunicazioni (49%), smart home & building (49%) e veicoli connessi (48%).
La principale vulnerabilità è costituita dal comportamento umano: per l’82% delle imprese la prima criticità è la distrazione e scarsa consapevolezza dei dipendenti, seguita da sistemi IT obsoleti o eterogenei (41%) e da aggiornamenti e patch non effettuati regolarmente (39%). Per minimizzare il rischio, l’80% delle imprese ha avviato piani di formazione del personale.
Tutti i dati del mercato delle soluzioni di information security
Il mercato italiano delle soluzioni di information security & privacy nel 2018 continua a crescere, raggiungendo il valore di 1,19 miliardi di euro, in aumento del 9% (dopo il +12% fatto registrare nel 2017).
Il 75% della spesa in soluzioni di Information Security & Privacy riguarda le grandi imprese. Soltanto il 7% di queste dichiara di aver diminuito il budget dedicato nel corso dell’ultimo anno, il 63% lo ha aumentato (contro il 75% del 2017) e il restante 30% lo ha mantenuto stabile. Oltre metà delle grandi aziende (52%) dedica alla cyber security un piano di investimenti pluriennale, che nel 23% dei casi è anche inserito nel piano industriale, mentre il 30% pianifica gli investimenti su base annua.
Nonostante il quadro positivo, però, quasi un’azienda su cinque è ancora indietro: il 13% non prevede un piano di investimenti specifico dedicato all’information security e privacy e il 6% stanzia finanziamenti solo in caso di necessità. Le principali voci di spesa riguardano l’adeguamento al GDPR, che per il secondo anno consecutivo incide in maniera netta sui budget delle aziende, e le componenti di sicurezza più tradizionali come la Network Security, strumenti di Business Continuity & Disaster Recovery e soluzioni di Endpoint Security, seguiti da Application Security e Penetration Test. Ma guardando al futuro, gli ambiti in cui le imprese dichiarano di voler aumentare i propri investimenti sono invece le componenti più innovative, come Cloud Security (sul quale il 71% delle organizzazioni dichiara di prevedere un aumento di budget), Industrial Security (52%), Artificial Intelligence & Machine Learning (50%), e protezione in ambiti Mobile (47%) e IoT (47%).
L’Osservatorio ha approfondito le sfide di sicurezza poste dall’Internet of Things e dall’Artificial Intelligence. Le principali criticità legate all’IoT sono la mancanza di una logica di security by design (indicata dal 73% delle imprese), la scarsa consapevolezza da parte degli utenti sulle possibili problematiche legate a questi dispositivi (58%) e l’assenza di standard tecnologici e di sicurezza (53%). Se si restringe il campo all’ambito dell’Industrial Security, le principali sfide da superare sono la mancanza di consapevolezza delle problematiche di sicurezza da parte delle funzioni Operations (56%), l’interconnessione sempre maggiore tra gli impianti industriali e l’infrastruttura IT (55%), l’obsolescenza degli impianti industriali (40%) e la mancanza di figure con adeguate competenze (37%).
L’Artificial Intelligence è vista invece più come un’opportunità che una sfida. Soltanto il 14% del campione ritiene possa costituire una minaccia, soprattutto a causa dell’inaffidabilità delle macchine nel lungo periodo e della possibilità di utilizzarla per condurre attacchi mirati, mentre il 64% crede che sia utile per automatizzare il processo di raccolta e analisi dei dati per identificare in ottica preventiva eventuali minacce e vulnerabilità e il 17% per prendere decisioni in supporto o al posto dell’uomo. Un interesse che si traduce in progetti concreti, con il 40% delle imprese che già oggi sta utilizzando tecniche di AI o Machine Learning per prevenire potenziali minacce e identificare gli attacchi ancora prima che si verifichino (17%), per ottimizzare la gestione di eventuali incidenti di sicurezza automatizzando il processo decisionale e il tempo di risposta (15%) e per intercettare possibili frodi (8%). Il 36% del campione sta pianificando di adottare soluzioni di intelligenza artificiale nel prossimo futuro.
Le piccole e medie imprese coprono soltanto il 25% della spesa in soluzioni di information security. Il 43% investe in sistemi di information security & privacy, con i progetti di adeguamento al GDPR come principale motivazione di spesa (70%). Circa nove su dieci hanno adottato soluzioni di sicurezza informatica di base, mentre le tecnologie più sofisticate (quali ad esempio Intrusion Detection e Identity & Access Management) sono adottate dal 64% delle medie imprese (+20%) e dal 39% delle piccole. Il CISO è una figura ancora scarsamente diffusa nelle PMI, presente solo nel 15% del campione (nel 25% se ci si focalizza sulle medie imprese, +15%). Oltre la metà del campione (il 52%) non si sta ancora muovendo sul fronte della cyber sicurezza, adotta al massimo soluzioni di base e non ha inserito profili specializzati su questi temi. Una piccola parte, l’8%, è consapevole dei rischi legati al cyber crimine e affida la sicurezza a figure della funzione IT, ma non adotta sistemi sofisticati per mancanza di budget. Più di una su cinque (22%) ha adottato soluzioni tecnologiche avanzate, ma non è ancora strutturata a livello di ruoli e competenze. Chiude un 18% di imprese mature sia dal punto di vista organizzativo (una su quattro ha un CISO) sia per strumenti adottati (una su tre ha attivato una polizza di trasferimento del rischio cyber).
Focus GDPR, cosa si sta facendo e cosa resta da fare
Il 23% delle imprese è già conforme ai requisiti del GDPR, mentre il 59% ha ancora in corso progetti strutturati di adeguamento. Le imprese che dichiarano una scarsa conoscenza della normativa sono scese al 10% (dal 16% del 2017) e quelle che si trovano ancora in fase di analisi dei requisiti e delle attività da implementare sono calate all’8% (dal 34%). Insieme alla consapevolezza e alle iniziative sono cresciute anche le risorse stanziate dalle imprese in misure di adeguamento al GDPR: un budget dedicato è presente nell’88%, trenta punti in più rispetto al 2017. Due aziende su tre (67%) prevedono un budget anche per le attività di mantenimento dei progetti di adeguamento normativo, come gli audit periodici, la revisione del registro dei trattamenti e l’aggiornamento delle procedure e delle tecnologie di sicurezza e protezione dei dati; nel 25% del campione tale budget verrà predisposto nei prossimi dodici mesi. Poco più della metà (51%) delle imprese ha inoltre risorse dedicate alla gestione di eventuali incidenti di sicurezza, che comprendono i costi di notifica del data breach all’Autorità e agli interessati, come previsto dal Regolamento.
Le difficoltà riscontrate con più frequenza dalle imprese nell’adeguamento al GDPR riguardano la raccolta e mappatura dei dati personali (52%), la mancanza di sensibilizzazione sul tema da parte dei dipendenti aziendali (38%), la scarsa sponsorizzazione da parte del Top Management (37%), le difficoltà di comprensione della normativa (27%), la mancanza di figure professionali competenti sull’argomento (23%), la mancanza o la non adeguatezza del budget stanziato (20%) e l’inefficacia delle soluzioni tecnologiche di protezione e delle iniziative organizzative (20%).
“Il quadro dell’adeguamento delle imprese al GDPR è sostanzialmente positivo – ha commentato Gabriele Faggioli – con sensibilità, budget e acquisizione di competenze in deciso aumento: nel 63% delle organizzazioni è aumentata la sensibilità dei Top Manager sul tema della protezione dei dati; più della metà ha introdotto corsi di formazione su sicurezza e privacy per i dipendenti, il 47% delle imprese ha effettuato investimenti in tecnologie, mentre il 34% ha inserito in organico nuove figure professionali specializzate”.
Le professioni della sicurezza, le competenze necessarie ora e in futuro
Le aziende stanno cercando di acquisire e potenziare le competenze specializzate in sicurezza e privacy. Il 41% delle grandi imprese analizzate prevede un aumento dell’organico dedicato alla gestione della security, il 2% una diminuzione, il resto lo manterrà invariato. Sul fronte privacy, invece, il 38% inserirà nuovi profili e soltanto l’1% li ridurrà.
Il 2018 ha registrato un boom del Data Protection Officer (DPO): questo profilo è stato formalizzato nel 65% delle imprese ed è stato inserito informalmente nel 6%, con una crescita del 46% rispetto al 2017, mentre è calata di conseguenza la percentuale di aziende che ha intenzione di introdurlo in futuro (dal 57% al 5%) e delle imprese che non ne prevedono l’introduzione (dal 15% a 6%); il 18% delega queste mansioni a una figura esterna.
Meno rapida la diffusione del Chief Information Security Officer (CISO), presente formalmente nel 47% delle aziende, informalmente nel 12% e di prossima introduzione nel 2% del campione. Nel 37% delle aziende non esiste una figura dedicata e sono il Chief Information Officer (30%) o funzioni diverse dall’ICT (7%) a occuparsi del presidio della cyber security, mentre l’8% si affida a una figura che si occupa sia di sicurezza fisica sia di sicurezza logica. Anche nelle aziende che hanno inserito il CISO, però, la situazione non è rosea: solo nell’8% dei casi il CISO riporta direttamente al Board aziendale, nel 60% fa parte della direzione ICT e riporta al CIO, nel 10% il CISO riporta ad una funzione Security Corporate (che si occupa di sicurezza sia fisica sia logica), nel 3% alla funzione Compliance e Legal, nel 2% Risk Management oppure Operations.
Le altre figure professionali specializzate in security più diffuse in azienda sono il Security Administrator (a cui ricorre, con figure interne o consulenti esterni, l’86% del campione) che si occupa di rendere operative le soluzioni tecnologiche di security, il Cyber Risk Manager (79%), che identifica gli scenari di rischio e le minacce informatiche, e il Security Analyst (78%), che valuta le vulnerabilità di reti e servizi aziendali. Seguono l’Ethical Hacker (76%), la cui mansione è simulare incidenti di sicurezza per testare le vulnerabilità di cui soffre l’azienda, il Security Architect (65%), che verifica le soluzioni e le policy di security presenti in azienda, e il Security Engineer (61%), che monitora i sistemi e risponde agli incidenti. Ci sono poi il Security Developer (51%), impegnato nello sviluppo di soluzioni di security specifiche, e il Machine Learning Specialist (32%), che sviluppa sistemi di risposta in tempo reale per trattare possibili minacce in modo automatico e cognitivo.