Information Security & Privacy: investimenti +9% nel 2018
A trainare il mercato sono soprattutto le grandi imprese, con il 75% della spesa complessiva, concentrata su adeguamento al GDPR e componenti di sicurezza più tradizionale, come Network Security, Business Continuity & Disaster Recovery, Endpoint Security.
Il 25 maggio 2018 il Regolamento europeo sulla Protezione dei Dati Personali (GDPR) è diventato pienamente applicabile, ponendo ancora di più l’enfasi sulla tutela dei dati. Contestualmente, le organizzazioni hanno continuato a subire attacchi informatici, costringendole a correre ai ripari. Secondo l’ultima rilevazione del Clusit, il primo semestre 2018 è stato caratterizzato da un numero di attacchi censiti superiore a quanto finora mai rilevato, con 730 casi di tipo grave che hanno avuto un impatto significativo in termini di perdite economiche, danni reputazionali o di diffusione di dati sensibili. Qualora fosse confermata questa tendenza anche per la seconda parte dell’anno, sarebbe stabilito un triste primato per quanto riguarda la numerosità e la frequenza degli attacchi, che hanno mostrato anche una certa eterogeneità di soggetti coinvolti e modalità di esecuzione.
Tra i casi più noti, c’è quello di Facebook scoppiato a marzo, che ha visto la condivisione non autorizzata di dati di decine di milioni di utenti alla società Cambridge Analytica, che li avrebbe utilizzati allo scopo di influenzare le elezioni negli Stati Uniti e in Europa. Tra gli attacchi agli enti pubblici, ad aprile le autorità dell’area metropolitana di Atlanta sono state oggetto di un ricatto da parte di un gruppo hacker specializzato in attacchi ransomware, che hanno richiesto il pagamento di 51.000 dollari in Bitcoin per permettere all’ente di rientrare in possesso dei propri sistemi informatici.
Come rilevato dalla ricerca 2019 dell’Osservatorio Information Security & Privacy del Politecnico di Milano – che ha coinvolto 166 organizzazioni di grandi dimensioni e 501 PMI – le principali finalità dei cyber attacchi subiti dalle imprese sono truffe, come phishing e business e-mail compromise (83%), e estorsioni (78%), intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%). Ma nei prossimi tre anni le aziende temono soprattutto spionaggio, truffe, influenza e manipolazione dell’opinione pubblica, acquisizione del controllo di sistemi come impianti di produzione. Tra i principali obiettivi degli attacchi spiccano oggi gli account e-mail (91%) e social (68%), seguiti dai portali eCommerce (57%) e dai siti web (52%).
Per contrastare questo fenomeno incessante, le aziende italiane hanno incrementato la spesa in soluzioni tecnologiche legate alla protezione dei dati e stanno investendo nella sensibilizzazione dei propri dipendenti: nel 2018 il mercato dell’Information Security è cresciuto del 9%, raggiungendo un valore complessivo di 1,19 miliardi di euro.
A trainare sono soprattutto le grandi imprese, con il 75% della spesa complessiva, concentrata su adeguamento al GDPR e componenti di sicurezza più tradizionali, come Network Security, Business Continuity & Disaster Recovery, Endpoint Security: il 63% ha aumentato, infatti, il budget per la cyber sicurezza e il 52% ha un piano di investimenti pluriennale. A fare da contraltare a questi dati positivi c’è il fatto che ancora quasi un’azienda su cinque non prevede investimenti dedicati o stanzia risorse solo in caso di necessità.
Rispetto al tema dell’adeguamento al GDPR, il 2018 è stato un anno di progressi importanti: sono cresciuti il budget a disposizione delle organizzazioni e la maturità delle aziende, in termini di concretezza dei progetti messi in campo e dei cambiamenti organizzativi implementati.
In particolare, l’88% delle imprese ha previsto un budget specifico, e quasi un’impresa su quattro ha completato il processo, mentre il 59% ha progetti strutturati ancora in corso. Coerentemente sono diminuite le imprese che dichiarano una scarsa conoscenza delle implicazioni del GDPR, passando dal 15% del campione dell’anno scorso al 10% di quest’anno: occorre però precisare che quest’ultima percentuale si riferisce ad aziende in cui il tema non è ancora posto all’attenzione del vertice ma è comunque noto alle funzioni specialistiche quali IT Security, Legal e Compliance. Infine, un altro sintomo del raggiungimento di un maggiore grado di maturità e consapevolezza sul tema è dato dalla limitata percentuale di aziende (8%) che si trova ancora nella fase di analisi dei requisiti richiesti e dei piani di attuazione possibili, laddove nel 2017 tale quota si attestava sul 34%.
