Cyber difesa delle imprese, conto da 1,3 miliardi
Una grande azienda su due aumenta gli investimenti ma fatica a trovare le figure Quest’anno le Pmi non prevedono di aumentare i budget
«La sicurezza informatica è un elemento fondamentale per il successo di ogni business ed è confermato dal crescente interesse in termini di investimenti e di attenzione che ci aspettiamo proseguano anche quest’anno. Accanto alla specializzazione delle difese con strumenti allo stato dell’arte ora emerge la necessità di sviluppare cultura e consapevolezza, costituire centri di competenza strutturati e creare meccanismi di coordinamento e contaminazione, lavorando in una prospettiva trasversale che coinvolge l’intera organizzazione aziendale». Questa è la premessa di Alessandro Piva, direttore dell’Osservatorio Information Security & Privacy del Politecnico di Milano, commentando l’evoluzione degli investimenti per la difesa digitale delle imprese italiane. Oggi presenterà l’Osservatorio «Security-enabled transformation: la resa dei conti» che fotografa l’evoluzione dell’attività delle aziende sul fronte caldo della difesa digitale.
La aziende italiane da parte loro continuano ad investire. Lo scorso anno sono stati spesi in cyber sicurezza poco più di 1,3 miliardi, +11% sull’anno precedente. Una grande azienda su due nel periodo ha aumentato il budget mentre le Pmi, nonostante il sostanziale ritardo soffrono per le risorse limitate e si fermano alle difese essenziali come, per esempio, l’antivirus e l’antispam. «Una Pmi su due non prevede investimenti di miglioramento di queste tecnologie nel 2020» rimarca Gabriele Faggioli, responsabile scientifico dell’Osservatorio.
Alla fine dello scorso anno poco più di una azienda italiana su due, evidenzia l’Osservatorio, aveva completato il processo di adeguamento al Regolamento generale sulla protezione dei dati (Gdpr)contro il 24% del 2018. Il 45% delle imprese ha aumentato gli investimenti in quest’area e quasi i due terzi dispone al proprio interno del Data protection officer. Sono invece ancora da quantificare le ricadute del Cybersecurity act, certificazione a livello europeo che dovrebbe innalzare la soglia della difesa. Ma le aziende scontano un altro handicap: l’endemica carenza di figure specializzate. Tra le grandi aziende quattro su dieci sono alla ricerca di nuove figure professionali come, per esempio, architect e security analyst.
In ambiente industriale il rischio maggiore è quello del blocco della produzione causata da attacchi ai robot collaborativi e macchinari, ma si teme anche la modifica dell’output e il furto dei dati sensibili. Qui le contromisure adottate in quasi due casi su tre sono soluzioni specifiche per gli ambiti produttivi.
Un’altra via percorsa dalle imprese è il ricorso al mercato, per il momento in fase di sviluppo, delle polizze assicurative contro i rischi cyber. Solo un terzo del campione delle aziende osservate dal team del Politecnico ricorre già a queste polizze mentre quasi il 40% sta valutando l’opportunità.
Tra le aziende c’è una maggiore sensibilità e attenzione verso la protezione dei dati, la sicurezza delle informazioni aziendali, la sensibilizzazione del personale e il coinvolgemento del top management. Quest’anno tra le priorità continua a spiccare la difesa dei dati e delle reti aziendali, la gestione del rischio che conquistano il secondo posto alle
In Italia. spalle della business intelligence e dei big data. Questo exploit è dettato dai processi di trasformazione digitale avviati dalle imprese: tra i vertici aziendali cresce la consapevolezza che la sicurezza è un fattore chiave, anzi strategico per perseguire il successo e che i dati e la loro protezione sono irrinunciabili. Ma a mettere a rischio questi asset intangibili molto spesso c’è il fattore umano. «Al primo posto tra le priorità emerge l’importanza di sensibilizzare i dipendenti sulle problematiche di sicurezza - aggiunge Piva -. Lo scorso anno il fattore umano è stata la principale fonte di vulnerabilità». Qui opportune politiche di formazione possono fare la differenza. In questi giorni, per esempio, gli hacker fanno leva della paura per il coronavirus inviando mail “esca” che se attivate permettono agli attaccanti di accedere ai dati sensibili come quelli bancari. Il tutto sfruttando le vulnerabilità dei sistemi e la disattenzione del dipendente. Insomma resta ancora molto da fare sul fronte della formazione. A questi sforzi partecipa anche la Commissione Europea che ha istituito e promuove la «giornata mondiale per la sicurezza in rete». La prossima giornata di sensibilizzazione sarà martedì.