Nel 2021 il mercato italiano della sicurezza informatica ha raggiunto un valore di 1,55 miliardi di euro, con una crescita del 13% rispetto al 2020: la più alta degli ultimi anni, anche quelli pre-Covid.

In uno scenario di grande turbolenza, dall’esplosione dello smart working, che allarga il perimetro di vulnerabilità delle aziende, al continuo aumento di attacchi gravi, i segnali positivi dalle aziende e dalle istituzioni italiane – sintetizzati appunto dalla forte crescita del mercato – sono diversi e confortanti.

Oss cybersecurity Polimi 2022 graf 1 CWI

Cybersecurity prima priorità d’investimento, sia per le grandi imprese sia per le PMI

Prima di tutto il 60% delle grandi organizzazioni ha aumentato il budget per la cybersecurity, che è ora la prima priorità di investimento nel digitale sia appunto per le grandi imprese (per il secondo anno consecutivo), sia per le PMI (per la prima volta: due anni fa era addirittura la 13a priorità). Inoltre è aumentata, dopo anni di stagnazione, la percentuale di organizzazioni con un responsabile della IT Security formalizzato.

Altro segnale positivo sono le 13 operazioni straordinarie (acquisizioni, fusioni, quotazioni) che hanno coinvolto 24 aziende italiane di cybersecurity, per un giro d’affari di diverse centinaia di milioni di euro.

E poi c’è il fronte istituzionale. Il PNRR prevede nella Missione 1 investimenti per 623 milioni di euro in presidi e competenze di cybersecurity nella PA, e altri fondi nella Missione 4 per promuovere partenariati su temi innovativi, tra cui la sicurezza informatica. Ed è finalmente stata costituita l’Agenzia per la Cybersicurezza Nazionale (ACN), nata per definire una strategia a livello di sistema Paese e diventare un riferimento a livello nazionale e internazionale per imprese e istituzioni.

Questi i principali concetti della nuova ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, presentata ieri al convegno “Cybersecurity: don’t look up”. Un titolo, ha spiegato aprendo l’evento Mariano Corso, responsabile scientifico dell’Osservatorio, riferito al recente film: “Vogliamo sottolineare che proprio ora che gran parte delle aziende italiane finalmente riconosce la cybersecurity come priorità strategica, c’è una parte di imprese, politica e opinione pubblica che ancora non ne ha capito l’importanza: occorre non abbassare la guardia, e mettere in atto strategie di lungo periodo”.

Perché l’Italia è più colpita di altri paesi avanzati

“Ben il 31% delle grandi imprese italiane ha rilevato un ulteriore aumento degli attacchi informatici nell’ultimo anno, dopo le forti crescite degli anni scorsi, e questo rispecchia i dati del Clusit secondo cui dal gennaio 2018 al giugno 2021 ci sono stati oltre 6000 attacchi gravi nel mondo, di cui 143 in Italia, che ne ha subiti più di Francia e Germania, con la sanità come settore più colpito, e anche il manifatturiero sopra la media europea”, ha aggiunto Gabriele Faggioli, altro responsabile scientifico dell’Osservatorio.

“Perché l’Italia è più colpita? Perché risente di un tessuto economico molto sbilanciato verso le PMI, che strutturalmente hanno meno risorse da dedicare alla cybersecurity, e di investimenti in sicurezza IT più bassi degli altri paesi avanzati: oggi spende in cybersecurity lo 0,08% del PIL, contro lo 0,25% del Regno Unito, lo 0,24% degli USA, e lo 0,16% di Germania e Francia”.

“Ma quello che voglio soprattutto sottolineare”, continua Faggioli, “è che questo continuo aumento degli attacchi non è un momento di “cyber-guerra” che poi si risolverà. Non è una situazione eccezionale. Come ci sarà sempre traffico di droga e di armi, ci sarà sempre criminalità informatica: è uno standard a cui ci dobbiamo abituare affrontandolo in modo sistematico e strutturale”.

Le aree più in crescita: Endpoint Security e Cloud Security

Ma veniamo a qualche dato più di dettaglio della ricerca. Il mercato italiano di 1,55 miliardi di euro è composto per il 52% da soluzioni di IT security, e per il 48% da servizi, che a loro volta sono per circa la metà servizi professionali e per l’altra metà servizi gestiti.

Le soluzioni su cui si spende di più sono Vulnerability Management e Penetration Testing, SIEM (Security Information ed Event Management), Identity & Access Management, Intrusion Detection, e Data Loss Prevention. Mentre le aree di IT Security con più investimenti (sia per soluzioni che per servizi) sono le più tradizionali – Network & Wireless (31%), Endpoint (23%) e Application (15%) – ma quelle a più alta crescita sono Endpoint Security e Cloud Security, la prima per le nuove modalità di lavoro post-pandemia, e la seconda per la forte diffusione del cloud nelle imprese italiane.

Nel 46% delle aziende italiane c’è un Chief Information Security

Quanto all’atteggiamento delle imprese, la ricerca comprende un’indagine su 132 grandi imprese e una su 503 PMI, da cui emerge che dopo anni di “crescita zero”, il 2021 ha visto salire di 5 punti la presenza formale del responsabile della sicurezza informatica: oggi nel 46% delle imprese italiane c’è un CISO (Chief Information Security Officer), che nella maggioranza dei casi riporta alla Direzione IT (34%) e ha un team dedicato nel 78% dei casi.

Nel restante 54% di aziende, il 25% affida l’IT Security al CIO, il 10% a una figura che si occupa anche di sicurezza fisica (CSO), l’11% a funzioni di controllo o altre figure, e l’8% non ha nessuna figura specifica responsabile della cybersecurity.

Oss cybersec 2022 graf 2 CWI

Inoltre a fronte dello scenario di forte crescita dello smart working e degli attacchi, solo il 5% ha proceduto a una revisione completa della strategia di gestione della sicurezza IT, mentre il 54% delle grandi realtà ravvisa la necessità di rafforzare le iniziative di sensibilizzazione del personale sui comportamenti da tenere nelle nuove modalità di lavoro. Il 58% ha definito un piano di formazione strutturato sulle tematiche di cybersecurity e data protection per tutti i dipendenti, e un altro l’11% solo per le funzioni e ruoli più a rischio. Il 30% ha attuato azioni di sensibilizzazione meno strutturate e sporadiche, e solo l’1% non ha previsto attività di formazione.

Oss cybersec 2022 graf 3 CWI

Risk Management, un passo indietro: cresce l’approccio a silos

Quanto alla nuova Agenzia per la Cybersecurity Nazionale (ACN), al convegno è intervenuto il responsabile operazioni Gianluca Galasso, che ha spiegato che l’ACN oggi conta già su 75 esperti e specialisti, che raddoppieranno a fine 2022 per arrivare a regime a 800 risorse. Le grandi imprese italiane si dimostrano aperte e disponibili verso l’ACN: il 17% esprime la volontà di collaborare con l’Agenzia, più di metà (53%) è in attesa di linee guida e indicazioni, il 22% vuole approfondirne meglio il ruolo, mentre uno sconfortante 8% non ne ha mai sentito parlare.

Infine il risk management delle minacce informatiche, ambito in cui la pandemia, sottolinea l’Osservatorio, ha lasciato uno strascico negativo, favorendo il ritorno dell’approccio a silos. Nel complesso la percentuale di aziende con processi formalizzati di cyber risk management non è calato di molto (87% contro l’89% del 2019), ma sono fortemente diminuite le aziende che lo gestiscono in modo integrato e centralizzato (da 49% a 38%) e parallelamente sono aumentate dal 40% al 49% quelle che lo trattano all’interno di singole funzioni.