Anche il mercato della cybersecurity in Italia ha sofferto per la crisi creata dal Covid-19, ma è riuscito comunque a crescere, anche se “solo” del 4% (contro il +11% del 2019), raggiungendo nel 2020 un valore di 1,37 miliardi di euro, di cui il 52% in soluzioni e il 48% in servizi.

L’emergenza sul fronte sanitario si è tradotta in emergenza anche sul fronte cybersecurity. Da una parte il 40% delle grandi imprese italiane ha rilevato un aumento degli attacchi informatici rispetto al 2019: il boom improvviso e capillare del remote working, dell’uso di dispositivi personali e reti domestiche, e delle piattaforme di collaborazione hanno infatti aumentato le opzioni di attacco per i criminali informatici. Dall’altra l’impatto economico della pandemia ha costretto molte imprese italiane a tagliare i budget: il 19% ha diminuito gli investimenti in cybersecurity (contro il 2% del 2019) e solo il 40% li ha aumentati (era il 51% l’anno precedente). Ma per oltre un’impresa su due (54%) l’emergenza è stata un’occasione positiva per investire in tecnologie e aumentare la sensibilità dei dipendenti su sicurezza e protezione dei dati.

Nonostante questo, le imprese italiane presentano ancora una scarsa maturità organizzativa rispetto alla cybersecurity. Solo nel 41% la responsabilità di queste tematiche è affidata a un CISO (chief information security officer) e ancora nel 38% dei casi non sono previste comunicazioni al CdA sull’argomento. La gestione della data protection è più evoluta, anche per effetto della spinta normativa, con il 69% delle imprese che ha inserito un Data Protection Officer (DPO) in organico e il resto che si avvale di figure esterne.

In Italia la spesa è 4-5 volte inferiore rispetto ai paesi più avanzati

Sono i dati più significativi del rapporto annuale dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, presentata ieri. “Il 2020 è stata una vera odissea, con un aumento senza precedenti degli attacchi informatici, la necessità di riorganizzarsi per gestire l’improvviso boom dello smart working, e la razionalizzazione dei budget a causa del grave impatto economico della pandemia”, dichiara in un comunicato Alessandro Piva, Direttore dell’Osservatorio. “Nonostante il contesto negativo, il mercato non ha smesso di crescere e la maggior parte delle imprese ha colto l’occasione per investire e aumentare la sensibilità dei dipendenti sul tema. La cybersecurity può essere la chiave per governare i cambiamenti in atto, ma deve essere gestita in modo più maturo e strategico”.

“Anche nel 2020, nonostante l’emergenza sanitaria, sono stati fatti importanti passi avanti nell’ambito cybersecurity”, aggiunge Gabriele Faggioli, Responsabile scientifico dell’Osservatorio. “Il mercato italiano della cybersecurity, però, è ancora limitato in rapporto al PIL, con un’incidenza di appena lo 0,07% nel 2019, circa 4-5 volte in meno rispetto ai paesi più avanzati. E dalla ricerca emerge anche la necessità di rafforzare il presidio delle normative, anche considerando le sanzioni comminate dalle Autorità competenti e gli importanti data breach di cui si ha avuto notizia nel corso dell’anno”.

Le soluzioni su cui si investe di più: monitoraggio eventi e gestione accessi

La tipologia di sicurezza che attira la maggior parte degli investimenti è la Network & Wireless Security (33%), le strategie e soluzioni che proteggono l’infrastruttura da danni e accessi impropri. Seguono Endpoint Security (protezione dei dispositivi connessi, 23%), e Data Security (sistemi per la protezione dei dati dell’azienda e dei singoli utenti, 14%). La sicurezza degli ambienti Cloud vale il 13% della spesa, la Application Security il 12%, mentre sono ancora marginali la IoT security (3%), e le altre categorie, in cui spiccano le iniziative di cybersecurity awareness e training (2%).

cybersecurity spesa italia 2020 per tipologia

Le soluzioni su cui le aziende investono di più sono quelle per il monitoraggio degli eventi di sicurezza (16%), per la gestione degli accessi a dati e applicazioni (14%), per valutare la vulnerabilità di sistemi, applicazioni o reti (14%), per analizzare l’esposizione al rischio cyber dei sistemi aziendali e la conformità agli standard di sicurezza (12%) e per il monitoraggio del traffico di rete e blocco degli accessi non autorizzati (11%). Fra i servizi, il 51% della spesa è dedicato ai Professional Services (cioè relativi a un progetto specifico), e il 49% ai Managed Services, i servizi continuativi per la manutenzione dei sistemi informativi aziendali.

OT Security: aumentano gli investimenti, non la maturità

Il Cloud è il trend che più ha influenzato la gestione della cybersecurity nelle imprese, insieme a Smart Working e Big Data. Nell’ultimo anno sono emersi servizi Cloud di tipo edge, che estendono i confini della nuvola, ma le aziende lamentano ancora scarsa consapevolezza delle minacce da parte del top management (74%), un aumento degli attacchi più evidente rispetto ad altri ambiti (64%) e difficoltà a relazionarsi con i cloud service provider perché hanno poco potere negoziale (74%) o faticano a fare security assessment (66%).

Fra le altre tendenze più rilevanti, l’accelerazione degli investimenti in OT security (la sicurezza dei sistemi non informatici aziendali, per esempio i macchinari industriali), a cui però non si accompagna un’adeguata maturità: solo un’impresa su due ha introdotto policy di OT security e meno di un terzo fa formazione sulla materia. L’Artificial Intelligence si conferma un tema di interesse per le aziende, che la impiegano in ambito cybersecurity nel 47% dei casi (ma solo nel 14% in modo significativo) soprattutto per identificare nuove minacce (68%) e per il monitoraggio del comportamento di sistemi e utenti al fine di rilevare anomalie (66%). Cresce anche l’importanza della Supply Chain security, le attività di protezione di sistemi e reti di terze parti, ma finora solo il 13% usa strumenti tecnici e ha predisposto un presidio organizzativo formale.

Solo il 54% ha un CISO o un CSO, ma il 69% ha un DPO

La gestione della cybersecurity e della data protection richiede profili e competenze specifiche. Nel primo caso nel 2020 non ci sono stati cambiamenti evidenti: solo nel 41% delle imprese la responsabilità è affidata ad un CISO formalizzato, nel 25% è in capo al CIO, nel 13% a un CSO o security manager, nei restanti casi è in mano ad un’altra figura aziendale (19%) o non esiste una figura dedicata (2%). Nel 38% delle organizzazioni analizzate non è prevista una relazione periodica al CdA da parte della figura responsabile della sicurezza sulle azioni messe in campo.

La data protection è gestita in modo più avanzato, con il DPO presente nel 69% delle imprese e come figura esterna nel resto del campione. Nel 51% dei casi tale figura riporta direttamente al board e nel 52% dispone di un budget dedicato (+9% sul 2019).

PMI, nel 2021 solo il 22% investirà in cybersecurity

Secondo il 59% delle PMI intervistate dall’Osservatorio, l’uso di device personali e reti domestiche ha esposto le aziende a maggiori rischi di sicurezza, e per il 49% sono aumentati gli attacchi informatici. Sebbene la cybersecurity inizi a farsi strada tra le priorità, le PMI faticano ancora a tradurre la percezione in concretezza: solo il 22% ha previsto investimenti in sicurezza per il 2021, il 20% li aveva previsti ma ha dovuto ridurre il budget in seguito all’emergenza, un terzo non ha un budget da dedicare (32%) e oltre un quarto non è interessato all’argomento.

Chi investe si concentra soprattutto sulla componente tecnologica: il 41% in soluzioni di sicurezza di base, come antivirus o firewall, il 37% in soluzioni più sofisticate, come sistemi di Intrusion Detection o Identity & Access Management. Per quanto riguarda la gestione della cybersecurity, il 32% ha investito in formazione su sicurezza e data protection ai dipendenti, il 28% si è rivolto a consulenti, il 18% ha introdotto competenze dedicate come Security Analyst o Security Administrator e il 15% ha stipulato polizze assicurative per il trasferimento del rischio cyber.

Il quadro normativo e la sfida delle conformità

Il quadro normativo europeo in materia di data protection e cybersecurity si è evoluto negli ultimi anni, con l’entrata in vigore del GDPR, della direttiva NIS e del Cybersecurity Act. A fine 2020 la Commissione europea ha pubblicato un nuovo pacchetto di misure per realizzare un piano strategico sulla cybersecurity per i prossimi 5 anni, aumentare la resilienza di reti e infrastrutture e contrastare il cybercrime. In Italia è stato adottato il “Perimetro di sicurezza nazionale cibernetica”.

Ci sono però ancora molte sfide da affrontare per imprese e istituzioni, sottolinea l’Osservatorio: a partire dal rafforzamento della compliance, e dal saggio bilanciamento tra le opportunità offerte dalle nuove tecnologie e gli strumenti di tutela messi a disposizione dal framework normativo in materia di protezione dei dati.