Il Gdpr spinge gli investimenti in sicurezza
Da oggetto misterioso a fonte di business e investimenti. È lo strano destino del Gdpr, regolamento europeo sul trattamento dei dati personali che è entrato in vigore lo scorso maggio. E che qualche patema d’animo aveva fatto venire in chi si sarebbe dovuto confrontare con un testo tanto rivoluzionario. La novità, stando ai dati dell’indagine condotta dall’osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, sembra tuttavia essere stata ben metabolizzata. Il 23% delle imprese si è ormai adeguato al nuovo regolamento e il 59% presenta progetti in corso: più in generale, l’88% delle aziende intervistate ha predisposto un budget specifico per affrontare la questione.
“Il quadro dell’adeguamento delle imprese al Gdpr è sostanzialmente positivo, con sensibilità, budget e acquisizione di competenze in deciso aumento”, ha osservato Gabriele Faggioli, responsabile scientifico dell’osservatorio. E pare anche che l’accelerazione portata dal nuovo regolamento europeo abbia spinto al rialzo gli investimenti in sicurezza informatica.
Crescere non basta
Secondo i numeri dell’osservatorio, nel 2018 il mercato dell’information security ha totalizzato un giro d’affari di 1,19 miliardi di euro, in rialzo del 9% rispetto all’anno precedente. A trainare il settore sono soprattutto le grandi imprese, che si intestano il 75% della spesa complessiva: il 63% del segmento ha aumentato il budget in cyber sicurezza e il 52% ha addirittura messo a punto piani pluriennali. Appena una grande azienda su cinque non prevede investimenti dedicati o stanzia risorse solo in caso di necessità.
Le piccole e medie imprese vanno invece un po’ a rimorchio: solo il 18% delle pmi ha raggiunto un livello maturo di sicurezza informatica. Troppo poco per confrontarsi con una minaccia che cambia ogni giorno e sembra andare a un passo più deciso delle possibili contromisure. Per quanto infatti gli investimenti degli ultimi tempi siano una buona base di partenza, ha affermato Faggioli, “è necessaria una maggiore pervasività delle iniziative di sicurezza a tutti i livelli manageriali e organizzativi delle imprese, e un maggiore coinvolgimento dei profili dedicati alla security nelle strategie di business”.
La paura dell’errore umano
La crescita del settore è forse data anche dalla maggior consapevolezza dei rischi che la digitalizzazione comporta. Cyber attack come WannaCry e Petya hanno fatto scuola negli ultimi anni. E hanno pure fatto emergere le dimensioni di un fenomeno criminale che presenta strategie simili, ma obiettivi assai diversificati. Secondo i dati dell’osservatorio, le finalità principali di un cyber attack sono truffe (83%), estorsioni (78%), spionaggio (46%) e interruzione di servizio (36%). Nei prossimi anni le imprese prevedono una crescita delle attività di influenza e manipolazione dell’opinione pubblica (49%), nonché una maggiore attenzione verso dispositivi mobile (57%), infrastrutture critiche (49%) e smart home & building (49%).
Eppure la minaccia principale non sembra arrivare dall’esterno: il rischio maggiore sta in casa, come testimoniato dall’82% di imprese che vedono come prima criticità la distrazione e la scarsa consapevolezza dei propri dipendenti. Seguono poi sistemi obsoleti ed eterogenei (39%) e aggiornamenti o patch non effettuati regolarmente (39%). Per far fronte a questi imprevisti, l’80% delle aziende ha affermato di aver avviato piani di formazione del personale.
Anche l’assicurazione si muove
In questo contesto, anche il settore delle polizze cyber in Italia sta registrando una certa vitalità. Nulla a che vedere con la maturità raggiunta nei mercati internazionali, però qualcosa si sta muovendo e si notano segnali di crescita. Nel 2018, secondo l’osservatorio, il 33% delle imprese ha sottoscritto una qualche copertura per il trasferimento del rischio cyber, segnando un rialzo del 6% rispetto all’anno precedente: il 18% delle soluzioni è dedicato completamente al rischio informativo, mentre il resto del campione si struttura come prodotto generalista che offre soluzioni anche su questo fronte. Il 25% delle imprese sta valutando se adottare la soluzione, mentre il 30%, seppur a conoscenza della possibilità, non è intenzionato a farne uso.
Il ritardo comunque esiste. E si giustifica prevalentemente con la difficoltà a misurare l’impatto finanziario di un eventuale incidente di sicurezza (64%) e con l’incapacità di valutare la propria esposizione al rischio cyber (58%). Pesa poi lo scarso coinvolgimento del management delle imprese, così come quelle che possono essere definite lacune dell’offerta: secondo il 19% delle aziende, le soluzioni mancano della chiarezza necessaria per definire quali danni verranno coperti, mentre una percentuale analoga punta il dito sulla scarsa competenza tecnica degli assicuratori.