Information Security: le imprese ci investono, e credono soprattutto nell'IA
Il 51% delle aziende italiane ha visto aumentare la spesa dedicata all’information security. La tecnologia al centro dell'attenzione è l'Intelligenza artificiale.
> Intelligenza artificiale: perche' piace ai manager ma non ai dipendenti
Per il terzo anno consecutivo cresce il mercato dell'information security in Italia, che nel 2019 raggiunge un valore di 1,317 miliardi di euro, in crescita di poco meno dell'11% rispetto all'anno precedente (dopo aver registrato un +9% nel 2018 e un +12% nel 2017). Sono alcuni dei risultati della ricerca dell'Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano.
Information Security: dove investono le imprese
Il 52% delle risorse investite dalle imprese è dedicato a soluzioni di sicurezza, il restante 48% ai servizi.
Tra le soluzioni, la categoria che raccoglie la quota principale della spesa è la "Network & Wireless Security", intesa come protezione della rete fisica e logica (36%), seguita dalla "Endpoint Security" (20%), che comprende postazioni fisse e dispositivi mobili, e dalla "Application Security" (19%).
La protezione degli ambienti Cloud attrae il 13% della spesa e rappresenta la categoria con la crescita più elevata (in crescita per il 55% delle aziende). Vengono poi i dispositivi connessi dell'Internet of Things e un'ulteriore voce residuale in cui rientrano varie voci relative ad aspetti di governance.
I servizi più finanziati sono quelli offerti da fornitori esterni all'azienda per progetti specifici, ma quelli più in crescita sono i servizi offerti in maniera continuativa da provider esterni all'organizzazione per garantire il supporto e la manutenzione dei sistemi informativi aziendali.
> Nel 2020 le imprese investiranno su Big Data e Cybersecurity
Come gestiscono la sicurezza informatica le imprese?
Dalla ricerca emerge un diffuso ritardo nei modelli organizzativi e di gestione della sicurezza informatica: nel 40% delle imprese è assente una specifica funzione e una figura direzionale dedicata all'Information Security, la cui gestione è affidata ancora al CIO e all'IT.
In più di un quarto del campione, inoltre, esiste una funzione esterna ai Sistemi Informativi, ma la figura responsabile della sicurezza (CISO o ruolo equivalente) riporta all'IT (27%). Sono poche le imprese in cui la funzione Security riporta a una funzione aziendale diversa dall'IT (17%) o direttamente al Board (16%).
La scarsa maturità organizzativa si riflette nella mancanza di soddisfazione, con oltre metà delle realtà che boccia il modello di gestione della sicurezza impiegato. L'insoddisfazione è più elevata dove la funzione Security riporta alla divisione IT (65%), mentre è minima nelle realtà in cui il CISO riferisce direttamente al Board (il 90% è contento della struttura organizzativa utilizzata).
Più strutturata la gestione del fattore umano: nel 55% del campione è attivo un piano formativo pluriennale che coinvolge l'intero personale, nel 25% la formazione è rivolta alle sole divisioni più sensibili al tema (come IT, Risk Management e Compliance), mentre il 20% non ha un progetto formativo strutturato.
L'impatto di Intelligenza artificiale e Blockchain
L'Osservatorio ha analizzato l'impatto dell'Artificial Intelligence e della Blockchain sull'information security. Solo il 44% dei CISO ha una conoscenza almeno discreta dell'AI, percentuale che scende al 28% quando si parla di Blockchain.
Quattro imprese su dieci giudicano positivamente l'impiego della Blockchain per applicazioni di security, ma soltanto l'1% ha attivato un progetto e appena il 16% lo sta valutando per il futuro, soprattutto per garantire che il dato non venga modificato, per gestire la privacy e i diritti di accesso ai dati e per l'identificazione di dispositivi fisici connessi.
> Blockchain: quali sono gli ostacoli e i benefici per le aziende?
Più diffuso il consenso sulle capacità dell'AI di garantire più sicurezza rispetto ai sistemi tradizionali e agli operatori umani, e rendere il personale addetto più efficiente, anche se la maggior parte del campione ritiene che l'Intelligenza artificiale non possa sostituire completamente il giudizio umano nel contesto della security (89%) e il 77% pensa che sia necessario dotarsi di profili esperti di questa tecnologia.
L'impiego di algoritmi di AI e Machine Learning per la gestione della sicurezza informatica è cresciuto significativamente nel 2019, passando dal 22% al 45% di imprese che ne fanno uso, soprattutto nel monitoraggio dei comportamenti di sistemi e persone per rilevare potenziali minacce (71%), nell'identificazione di tentativi di phishing (41%) e nella prevenzione di possibili frodi (25%). Seguono l'analisi e la gestione degli incidenti (24%) e la ricerca di vulnerabilità in fase di sviluppo software (16%).
L'assicurazione del rischio cyber
Il mercato della cyber insurance in Italia è ancora in fase di sviluppo, ma crescono le aziende che stanno valutando polizze assicurative. Circa un terzo del campione ha attivato coperture assicurative di trasferimento del rischio cyber (in linea col 2018), suddivise fra imprese che hanno scelto polizze completamente dedicate al cyber risk (19%) e altre che hanno preferito assicurazioni generaliste che coprono in parte questo rischio (11%). Il 37% sta valutando (+12% sul 2018), il 23% non è al momento interessato, il 10% non le conosce.
Solo metà del campione gestisce il rischio cyber con un processo di Risk Management che coinvolge l'intera azienda, il 40% affida questa attività alla funzione IT o a un'altra singola divisione, mentre nel 10% dei casi il cyber risk non viene nemmeno monitorato costantemente.
Le PMI? In ritardo, ma migliora la gestione dell’Information Security
Seppur in ritardo rispetto alle grandi imprese, le PMI mostrano un leggero miglioramento nella gestione dell'information security. Il 90% dispone di soluzioni di sicurezza di base come sistemi antivirus e antispam e una su due sta investendo per migliorare la propria dotazione di security.
Nel 43% è presente un ruolo che si occupa di sicurezza informatica, anche se nella maggior parte dei casi non si tratta di un vero e proprio CISO, ma di una figura interna che gestisce gli strumenti aziendali e si occupa della relazione con i fornitori.
Cresce l'attenzione alla formazione: il 54% delle PMI ha attivato corsi di formazione sulla sicurezza informatica, contro il 33% nel 2018.