Cresce l’attenzione alla cyber sicurezza in ambito europeo e nazionale
In un contesto economico iperconnesso e tecnologico, l’Europa si è finalmente dotata di un quadro normativo focalizzato sulla cyber security. La difesa dello spazio virtuale è infatti indispensabile, non solo per preservare i diritti della persona in rete, ma per garantire la continuità di servizi essenziali per l’economia e la società.
Entro il 9 maggio, l’Italia dovrà aver recepito la Direttiva europea 2016/1148 NIS (Network and Information Security), il primo insieme di norme sulla sicurezza informatica univoco a livello dell’Unione Europea. Dopo esser stato ratificato, nel febbraio scorso, un Programma nazionale per la cyber security (QE 21/2/17), l’8 febbraio il Consiglio dei Ministri ha approvato uno schema di Decreto Legislativo sull’implementazione della sicurezza per gli operatori dei servizi essenziali (energia, trasporti, salute, finanza, ecc.) e di quelli digitali (motori di ricerca, servizi cloud, piattaforme di commercio elettronico), in linea con i contenuti della direttiva. Il Decreto prevede l'attuazione di misure tecnico-organizzative per ridurre il rischio e l'impatto di incidenti informatici, introducendo l'obbligo di notifica per quelli con impatto rilevante sulla fornitura dei servizi. Il D.Lgs promuove inoltre una cultura di gestione del rischio, il miglioramento delle capacità di cyber security e il rafforzamento della cooperazione interna e in ambito europeo.
La cyber security è chiaramente destinata ad aver un ruolo sempre più importante nell’economia e nella politica nazionale ed internazionale, in termini di prevenzione di attacchi informatici e di compliance.
Le aziende dovranno recepire le normative, ma soprattutto adottare strategie integrate di gestione del rischio che tengano conto di quello che è ormai uno dei principali rischi per la business continuity.
Aziende italiane: emergenza sicurezza informatica
Il Centro per gli studi strategici e internazionali (CSIS) di Washington ha lanciato l’allarme per le aziende italiane. Il report pubblicato a fine 2017, posiziona infatti il nostro Paese tra le prime 10 nazioni al mondo per rischi e danni causati da attacchi informatici. Secondo gli esperti statunitensi, le aziende italiane pagherebbero un conto particolarmente salato: 900 milioni di euro in danni causati da attacchi informatici e furto di dati nel corso dell’anno. Una cifra che potrebbe aggravarsi con l’entrata in vigore del Regolamento Europeo sulla privacy (GDPR), al quale solo il 3% delle aziende italiane si è al momento adeguato, stando a un’indagine condotta da Microsoft e IDC, società mondiale di ricerche di mercato, consulenza ed eventi in ambito IT e innovazione digitale.
Lo scorso anno, solo nel nostro Paese, oltre 16 milioni di utenti della rete, più di un terzo della popolazione adulta (37%), sono stati colpiti da attacchi informatici. I danni si attestano a quasi 3,5 miliardi di euro e a più di 2 giorni lavorativi in media per utente occupati a rimediare ai problemi generati.
Cresce l’impegno nella gestione del rischio informatico
Secondo l’Osservatorio Information Security Privacy della School of Management del Politecnico di Milano, in Italia il mercato delle soluzioni di sicurezza informatica ha raggiunto nel 2017 un valore di 1,09 miliardi, in aumento del 12% rispetto all’anno scorso. Il mondo imprenditoriale comincia a rendersi conto della necessità di un approccio di lungo periodo alla gestione della sicurezza: il 50% del campione ha implementato un piano di investimenti pluriennale, mentre il 39% sta inserendo in azienda nuovi profili addetti alla sicurezza. La figura del chief information security officer continua ad acquisire importanza nell’ambito delle strategie aziendali, che incorporano sempre più rapidamente misure di gestione del rischio cyber.
Quanto si investe in Information Security?
Gli investimenti in sicurezza informatica aumentano, ma si concentrano per il 78% della spesa nelle grandi aziende. Le piccole imprese adottano sistemi di protezione più basilari, mentre il 30% delle microimprese non ha alcun tipo di difesa. Si conferma anche in questo campo il divario tra Nord e Sud del Paese.
Escludendo la quota destinata ai progetti di adeguamento al GDPR, la spesa è ancora principalmente orientata alle misure di sicurezza tradizionali, come Business Continuity e Disaster Recovery (19%), la Network Security (14%) e Security Testing (9%). Seguono le quote dedicate alle piattaforme di Incident Response (8%), ai sistemi di Identity e Access Management (6%) e alle soluzioni di Data Leakage e Data Loss Prevention (4%).
Diverse le prospettive di spesa per il futuro. Le maggiori percentuali di incremento sono previste infatti nel mobile e nel cloud computing: il 63% delle imprese aumenterà il budget per la protezione dei device mobili (che pesa per circa il 4% sulla spesa attuale) e il 59% spenderà di più per proteggere gli ambienti di cloud computing (il 3% dell’attuale spesa).
Misure di Security Awareness e Training sono in crescita del 56% e la Cyber Insurance viene indicata tra i prossimi investimenti del 52% del campione, con una quota attuale di mercato del 2,5%.