Cyber security, cresce la spesa delle imprese ma i rischi restano alti

La spesa per le soluzioni di information security in Italia nel 2016 è cresciuta del 5% rispetto all’anno precedente, sfiorando il miliardo di euro (972 milioni di euro).

È la buona notizia che emerge dai dati resi noti stamattina dall’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano.

Tuttavia alla maggiore consapevolezza delle sfide poste dallo sviluppo delle nuove tecnologie (Cloud, Big Data, Internet of Things in testa) non corrisponde ancora un approccio di lungo periodo alla gestione della sicurezza e della privacy: solo il 39% delle grandi imprese infatti ha un piano di investimento con orizzonte pluriennale e solo il 46% ha in organico in modo formalizzato la figura del Chief Information Security Officer, il profilo direzionale a capo della sicurezza. 

“Se analizziamo più in profondità i dati della ricerca, infatti, ci rendiamo conto di come le grandi organizzazioni italiane siano ancora indietro: oltre la metà non ha ancora una figura manageriale codificata per la gestione della sicurezza informatica, evidenziando un gap importante rispetto a quanto avviene in altri Paesi”, commenta Alessandro Piva, Direttore dell'Osservatorio Information Security & Privacy. “Inoltre si denota un ritardo nella comprensione delle implicazioni dei trend dell’innovazione digitale quali Cloud, IoT, Big Data, Mobile, sulla gestione della sicurezza”.

“Il Cyber Crime è una minaccia concreta anche se spesso invisibile, in grado di condizionare il mondo, come dimostrano i quotidiani fatti di cronaca, che richiede nuovi strumenti e modelli per farvi fronte”, aggiunge Gabriele Faggioli, Responsabile scientifico dell'Osservatorio Information Security & Privacy. “I nuovi trend dell'innovazione digitale come Cloud, Big Data, Internet of Things, Mobile e Social richiedono nuove risposte non più rimandabili”. 

Il rischio per le PMI

“Le PMI sembrano sottovalutare la crescita della consapevolezza dei rischi tra i propri dipendenti”, rileva Piva. Secondo la ricerca solo il 9% delle piccole aziende (tra i 10 e i 49 addetti) ha specifici programmi di formazione per aumentare la consapevolezza delle risorse rispetto ai rischi informatici, mentre la rilevanza delle azioni di sensibilizzazione cresce con l’aumentare della dimensione aziendale, attestandosi al 20% per le aziende medio-piccole (tra i 50 e i 99 addetti) e al 24% per le imprese più grandi (tra i 100 e i 249 addetti).

Il ruolo dell’IoT

Con lo sviluppo dell'Internet of Things aumenta il numero di dispositivi connessi alla rete e i possibili punti di accesso per un attacco al sistema informativo aziendale. Il 47% delle organizzazioni non ha ancora messo in atto nessuna azione per tutelarsi in questo ambito, il 41% sta valutando possibili azioni, il 13% ha Policy di  Security by design nella progettazione di prodotti (la messa in sicurezza con misure come il monitoraggio continuo, l’utilizzo di credenziali e pratiche di programmazione migliori), il 10% utilizza soluzioni tecnologiche specifiche, il 9% ha Policy sulla rilevazione di dati nel perimetro aziendale e il 5% per la gestione di dati raccolti da oggetti smart.