Rispetto a un anno fa le aziende, soprattutto quelle di grandi dimensioni, sono molto più consapevoli dell’importanza dei temi legati alla cyber-sicurezza e si sono attivate per lo sviluppo di strategie idonee a prevenire i rischi legati alla gestione dei dati e dei sistemi informatici. Molte, però, sono le aziende ancora in affanno, soprattutto tra quelle di più piccole dimensioni. Una spinta fondamentale verso l’evoluzione di questo segmento di mercato viene dal nuovo regolamento europeo GDPR (General data protection regulation), che entrerà in vigore il 25 maggio prossimo; al di là di questa impellente necessità di raggiungere la compliance ai nuovi requisiti di legge, il tema della sicurezza informatica vede però molti argomenti di dibattito ancora aperti, primo fra tutti il preciso inquadramento all’interno dell’azienda delle figure professionali che ad essa afferiscono.
Il regolamento GDPR rappresenta una straordinaria opportunità per aumentare la consapevolezza e mettere in atto gli interventi fondamentali, ha sottolineato Mariano Corso, responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano nell’aprire i lavori dell’odierno convegno dedicato alla presentazione dei risultati della ricerca “GDPR e Security: un percorso impervio…a trazione integrale” svolta dall’Osservatorio stesso. La ricerca è stata realizzata attraverso sondaggio tra oltre un migliaio di funzioni Ciso, Cso e Cio di imprese italiane, a cui si sono aggiunte un’indagine ad hoc rivolta ai Risk manager e ai Chief risk officer di 106 organizzazioni italiane e un’ulteriore indagine su 313 professionisti del settore sul tema data protection. La ricerca rappresenta l’aggiornamento 2018 dell’annuale fotografia del settore Information security in Italia scattata ogni anno dall’Osservatorio del Politecnico milanese (leggi qui cosa aveva evidenziato l’indagine 2017)
Un mercato in crescita
Rispetto allo scorso anno, l’avvicinarsi dell’appuntamento con il GDPR ha spinto gli investimenti per la sicurezza informatica, che sono cresciuti del 12% rispetto al 2016, per un totale di 1,09 miliardi di euro. Una spesa che per la grande maggioranza (78%) è concentrata a livello di grandi imprese, dove poco più della metà (51%) hanno già avviato progetti strutturati di adeguamento al nuovo regolamento (erano il 9% solo un anno fa), e un altro 34% sta analizzando nel dettaglio i requisiti e i piani di attuazione. Restano però aree che attraggono ancora una scarsa attenzione da parte delle aziende, ha sottolineato il direttore dell’Osservatorio Alessandro Piva, come ad esempio la protezione degli ambienti di intelligenza artificiale o dei social media. Maggiore interesse è invece posto nella protezione degli ambienti cloud e dei device mobili; un po’ più indietro, ma comunque presente all’interno della consapevolezza aziendale, vi è la protezione dei dispositivi dell’internet of things e delle tecnologie blockchain. Un settore in espansione, ma che attende ancora di assumere una precisa fisionomia, è quello del trasferimento del rischio della sicurezza informatica tramite la stipula di polizze assicurative.
Secondo Gabriele Faggioli, responsabile scientifico dell’Osservatorio e presidente del Clusit, l’impatto del regolamento GDPR sul mercato della sicurezza informatica potrebbe essere ancora più evidente il prossimo anno, in quanto molte aziende non hanno ancora completato le attività di analisi di rischio propedeutiche all’allocazione degli investimenti in sicurezza. La ricerca del Politecnico ha, in tal senso, evidenziato che nell’ultimo anno la percentuale di aziende che ha stanziato un budget pluriennenale è salita dal 7 al 23%, e quella di chi ha stabilito un budget annuale dall’8 al 35%. Il 21% delle imprese che hanno partecipato alla ricerca dichiara, però, di stanziare un budget in sicurezza solo in caso di necessità.
Molti nuovi ruoli nel campo della sicurezza informatica
La figura più nota introdotta dal regolamento GDPR è quella del Data protection officer (DPO), già presente in modo formalizzato nel 15% delle grandi aziende e in modo informale in un altro 10%, mentre il 57% ha dichiarato di avere in previsione la sua introduzione nei prossimi 12 mesi; solo il 3% delle aziende intervistate ha delegato la funzione all’esterno.
La figura del Dpo è affiancata da molti altri profili che partecipano alla gestione della sicurezza informatica delle aziende (vedi infografica; le percentuali sono riferite alla presenza all’interno delle aziende partecipanti all’indagine).
Molta importanza dovrebbe assumere in futuro la figura del cosiddetto Ciso (Chief informatic security officer), la cui collocazione all’interno dell’organigramma aziendale non è però ancora ben chiara, come emerso nel corso della tavola rotonda che ha riunito a confronto esperti provenienti dal mondo industriale. Il sondaggio tra le aziende mostra una buona consapevolezza sul ruolo svolto dal Ciso nella valutazione della sicurezza informatica (81%), nell’identificazione delle minacce (69%) e nella definizione delle policy (68%), mentre decisamente meno importanza è per il momento data alla sua partecipazione alla definizione delle iniziative di formazione (55%), delle architetture di sistema (44%) e alle attività d’investigazione forense (26%).
L’importanza della contaminazione culturale
Ma non basta disporre delle figure professionali deputate alla cyber-sicurezza, è necessario un diverso approccio alla gestione strategica di questo tipo di problematica che parta dalla valutazione del rischio e dalla sua gestione. La ricerca dell’Osservatorio del Politecnico ha mostrato che solo il 45% delle aziende utilizza modalità di valutazione del rischio basate su standard internazionali (es. ISO 27000, Nist, Cobit/Isaca). I dati del personale sono l’aspetto che più spesso vede messe in atto strategie di mitigazione del rischio, mentre quello legato alle infrastrutture critiche viene spesso trasferito a terzi tramite polizze assicurative. All’estremo opposto, la ricerca ha evidenziato come vengano spesso ignorati i rischi informatici legati alla proprietà intellettuale dell’azienda, mentre la reputazione è l’assett rispetto al quale il rischio viene maggiormente accettato.
Non meno importanti sono le attività di Security awareness & Training dei dipendenti (in crescita per il 56%), che oltre a utilizzare modalità tradizionali come l’invio di e-mail o newsletter o la partecipazione a corsi (online o in aula) fanno sempre più spesso ricorso anche ad attività di phishing simulato, a momenti informali di confronto con figure di spicco del settore e ad attività altrettanto informali basate sulla gamification o l’erogazione di premi ai dipendenti più virtuosi. Proprio il campo dell’informalità potrebbe rivelarsi il più adatto per le iniziative di formazione, secondo la ricercatrice dell’Osservatorio Giorgia Dragoni, in quanto le persone sono coinvolte in attività anche non strettamente formative e senza obbligo di partecipazione. Non sarà, tuttavia, mai possibile – ha sottolineato la ricercatrice – mitigare al 100% il rischio per la sicurezza informatica derivante da vulnerabilità del fattore umano.
Le Pmi sono più indietro
La tutela dei dati dei clienti è il motivo di preoccupazione che spinge il 45% delle piccole e medie imprese verso una maggiore attenzione alla sicurezza informatica. Solo il 19% del campione che ha preso parte alla ricerca (947 micro, piccole e medie imprese con meno di 250 addetti) ha segnalato l’adeguamento alle nuove normative; molto basse sono risultate anche le percentuali delle Pmi che investono in information security sulla base di attacchi informatici già subiti (11%), o come modo per tutelare i propri assett IP (8%) o per proteggere gli ambiti applicativi core (6%). In questo segmento industriale l’attenzione maggiore è rivolta alla sicurezza dei sistemi cloud (55% delle medie imprese, 30% delle piccole) e dei big data (18% delle medie imprese e 30% delle piccole)