Continua la crescita degli investimenti in Information Security (IS) delle imprese italiane: sono arrivati nel 2019 a 1,317 miliardi di euro: l’11% in più rispetto al 2018. La spesa si divide quasi equamente tra servizi (48%), e soluzioni (52%), a loro volta articolate in soluzioni di sicurezza per network e wireless (36%), endpoint (20%), applicazioni (19%), cloud (13%) e IoT (5%), con netta prevalenza quindi della protezione delle aree più “tradizionali”. Quanto ai servizi, il 54% sono mirati a progetti specifici (professional services) e il 46% (ma a più forte crescita) sono continuativi di supporto e manutenzione dei sistemi informativi aziendali.

Inoltre il 55% delle imprese ha completato l’adeguamento al GDPR (erano il 24% a fine 2018), e sul fronte delle competenze 4 aziende su 10 sono alla ricerca di specialisti IS, ma il 77% di loro ha serie difficoltà a reperire i profili necessari: i più ricercati sono Security Analyst, Security Architect, e Security Engineer.

Osservatorio Information Security Polimi 2020

Fonte: Osservatorio Information Security e Privacy 2020

Sono i principali dati dell’Osservatorio Information Security & Privacy del Politecnico di Milano, la cui edizione 2020 – basata su interviste a circa 700 aziende, per la precisione 180 grandi (sopra i 250 addetti) e 518 PMI – è stata presentata ieri, con diversi approfondimenti tra cui l’inquadramento organizzativo dell’IS in azienda, l’utilizzo di AI e Blockchain in ambito IT Security, e l’aggiornamento sullo stato di adeguamento delle imprese italiane al GDPR e alle più recenti normative in questo campo.

Una priorità strategica, ma a volte senza una funzione dedicata

L’elemento forse più eclatante del report è la contraddizione tra la crescita di consapevolezza dell’importanza ormai strategica dell’Information Security, e il ritardo nel darle un posto nella struttura organizzativa aziendale.

Da una parte infatti l’area Information Security/Data Protection/Risk Management è considerata dai CIO italiani la seconda priorità di investimento nell’innovazione digitale, dietro solo all’area Analytics/Big Data. Una sensibile crescita anche rispetto al 2018 – quando la sicurezza era al quarto posto, grazie soprattutto alla scadenza GDPR – dovuta alla pervasività della trasformazione digitale, che aumenta i fronti di vulnerabilità dei sistemi informativi aziendali, e rende quindi l’IS appunto strategica.

In questo senso, il 51% delle grandi aziende intervistate dichiara un aumento del budget dedicato all’IS (solo il 2% invece lo taglierà): i trend dell’innovazione digitale che più richiedono investimenti in IS e data protection sono Cloud (indicato dal 67% delle aziende), Mobile (43%) e Big Data (41%), seguiti da Industria 4.0, eCommerce, IoT e AI.

Dall’altra parte l’Osservatorio evidenzia che ben il 40% delle grandi aziende non ha una funzione specifica Information Security, e attribuisce la responsabilità della sicurezza al CIO. Un altro 27% ha un nucleo di IT Security con un responsabile specifico – Chief Information Security Officer (CISO) o equivalente – all’interno dell’IT, e solo il 33% ha una funzione Information Security esterna all’IT, che riporta in metà dei casi al vertice aziendale, nell’altra metà a una funzione che non è l’IT.

Più preoccupante ancora la situazione delle PMI, dove solo il 43% ha un responsabile interno, che in gran parte dei casi si occupa solo della gestione e manutenzione delle soluzioni IS e del rapporto con i relativi fornitori.

Metà delle aziende insoddisfatta di come gestisce l’Information Security

Insomma l’Information Security non ha l’inquadramento organizzativo che ormai meriterebbe. Ma almeno di questo c’è consapevolezza: oltre metà delle aziende infatti si dice insoddisfatta dell’assetto attuale, con scontento massimo (65%) nelle realtà dove la funzione Security riporta all’IT, e minimo (10%) dove il CISO riferisce direttamente al vertice aziendale.

Quanto all’aggiornamento dei dipendenti, il 55% del campione ha un piano formativo pluriennale sull’Information Security che coinvolge tutto il personale, nel 25% la formazione riguarda solo le divisioni più coinvolte sul tema (come IT, Risk Management e Compliance), e il 20% non ha un piano strutturato, e si affida a iniziative spot.

“L’Information Security non è più percepita come ostacolo all’adozione di nuove tecnologie, ma come fattore fondamentale per il successo del business”, ha detto Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy. “Però c’è ancora molta strada da fare nella maturità organizzativa: emerge la necessità di modelli integrati di governance della security con modalità di monitoraggio delle minacce e di intervento uniformi su tutta l’azienda”.

GDPR, il 15% delle grandi aziende non ha neanche iniziato l’adeguamento

Altro tema molto interessante è la conformità alle principali norme in area Information Security e Data Protection, a cominciare naturalmente dal GDPR, che a giudicare dai numeri dell’Osservatorio non è ancora una questione risolta: a fine 2019 solo il 55% delle imprese ha completato i progetti di adeguamento al nuovo Regolamento Europeo (erano il 24% a fine 2018), in un altro 30% questi progetti sono in corso, il 5% è ancora in fase di analisi dei requisiti, mentre nel 10% il tema non è ancora stato considerato dai vertici aziendali.

“Mi preoccupa soprattutto quel 15% che non ha ancora iniziato – ha commentato Gabriele Faggioli, Responsabile Scientifico dell’Osservatorio e presidente del Clusit -. La mole di lavoro in carico al Garante nell’ultimo anno e l’iniziale indulgenza prevista dalla normativa hanno limitato i controlli e le sanzioni: solo il 2% dichiara di aver subito ispezioni formali, l’89% non ne ha ricevute, mentre il 9% ha preferito non rispondere. Ma con la messa a regime del meccanismo sanzionatorio, quel 45% di imprese che ancora non ha completato l’adeguamento deve accelerare per non incorrere in sanzioni”.

Osservatorio Information Security Polimi 2020

Fonte: Osservatorio Information Security e Privacy 2020

Una delle direttive principali del GDPR come noto riguarda la figura del DPO, Data Protection Officer, che secondo il report nel 2019 è inserita formalmente nel 57% delle imprese e informalmente nel 4%. C’è quindi un calo rispetto al 71% del 2018, ma in compenso è cresciuto dal 18% al 27% il numero di imprese che usa come DPO un consulente esterno.

Il report approfondisce anche l’avanzamento sulla compliance alla Direttiva NIS, recepita in Italia il 24 Giugno 2018, che promuove una cultura di gestione del rischio e di segnalazione degli incidenti fra i principali operatori economici: solo il 6% ha completato le attività richieste, il 12% è al lavoro, il 16% sta valutando cosa fare, il 24% non si è ancora attivato e il 42% non è coinvolto dalla normativa. Quanto al Cybersecurity Act, entrato in vigore il 27 giugno 2019 per creare standard europei di certificazione della sicurezza di prodotti ICT e servizi digitali, la percezione delle aziende è positiva: per il 67% consentirà di scegliere prodotti e servizi tecnologici con più garanzie di sicurezza. Ma il 14% teme che gli Stati membri creeranno diversi meccanismi di rilascio delle certificazioni annullando lo sforzo di creare un quadro comune.

AI batte blockchain 45 a 1

Da evidenziare anche i dati del report sul contributo dell’Artificial Intelligence (AI) e della Blockchain all’information security. Solo il 44% dei CISO ha una conoscenza almeno discreta dell’AI, e ancora meno (il 28%) sa di Blockchain. Quattro imprese su 10 giudicano positivamente l’impiego della Blockchain per applicazioni di security, ma la realtà dei fatti è che soltanto l’1% ha attivato un progetto e appena il 16% lo sta valutando per il futuro.

Molto più concreto il discorso AI. Nel 2019 sono raddoppiate (dal 22% al 45%) le imprese italiane che usano algoritmi di AI e Machine Learning a fini di sicurezza informatica, con impieghi soprattutto di monitoraggio dei comportamenti di sistemi e persone per rilevare potenziali minacce (71%), identificazione di tentativi di phishing (41%) e prevenzione di frodi (25%). Secondo l’85% delle aziende, l’AI può garantire più sicurezza rispetto a sistemi tradizionali e operatori umani, ma ben l’89% ritiene che non possa sostituire totalmente il giudizio umano in ambito security e il 77% pensa sia necessario dotarsi di profili esperti di questa tecnologia.

Competenze, la figura più ricercata è il Security Analist

Infine qualche dettaglio in più sulla ricerca di competenze. Come abbiamo visto circa il 40% delle aziende è alla ricerca di specialisti di Information Security, e il 77% di queste ha difficoltà a trovarli.

La figura più ricercata è il Security Analyst (dal 51% di queste aziende), che valuta le vulnerabilità di reti, applicazioni e servizi proponendo soluzioni e accorgimenti pratici, seguita dal Security Architect (45%), che cura il disegno armonico e coerente delle misure di security presenti in azienda, e dal Security Engineer (31%), che monitora i sistemi e propone soluzioni per rispondere agli incidenti. Seguono l’Ethical Hacker (24%), che simula gli attacchi informatici per individuarne le vulnerabilità, il Security Administrator (22%), che rende operative le soluzioni tecnologiche di security, e l’OT Security Specialist (20%), che sviluppa e introduce soluzioni per ridurre i rischi di sicurezza in ambito industriale.