Gestione dei rischi, prevenzione di iniziative aggressive, difesa da minacce e vulnerabilità, ripristino di danni subiti e tanto altro: questi sono solo alcuni degli aspetti che riguardano la gestione della sicurezza informatica nelle organizzazioni complesse. L’incremento degli investimenti nel settore dell’InfoSec, rilevato dall’Osservatorio PoliM, testimonia, rispetto al passato, una maggiore sensibilità sul tema: l’information security deve essere un processo continuo che assicuri integrità dei dati e gestione del rischio, non un’attività una tantum.

I DATI DELL’OSSERVATORIO POLIMI

I dati dell'Osservatorio Information Security & Privacy della School of Management del PoliMi evidenziano una crescita del 12% del mercato nel 2017 rispetto al 2016, passando da 976 milioni di euro a 1 mliardo e 90 milioni. C’è però anche un dato negativo, ovvero che ci sia attenzione al rischio reputazionale mentre vengono ignorati i rischi sulla proprietà intellettuale.

Sono le grandi imprese a dividersi la maggior parte della spesa in soluzioni per l’information security (78%). Se si esclude la quota destinata ai progetti di adeguamento al GDPR, la spesa è ancora orientata principalmente alle componenti di sicurezza tradizionali, come la Business Continuity & Disaster Recovery (19%), la Network Security (14%) e la Security Testing (9%).

Seguono le quote dedicate alle piattaforme di Incident Response (8%), ai sistemi di Identity e Access Management (6%) e alle soluzioni di Data Leakage e Data Loss Prevention (4%).

Lo scenario appare diverso se però si osservano le prospettive di spesa per il futuro: le maggiori percentuali di incremento sono previste nel mobile e nel cloud computing, con il 63% delle imprese che dichiara un aumento della spesa dedicata alla protezione dei device mobili (che pesa circa il 4% sulla spesa attuale) e il 59% che definisce in crescita il budget relativo alla protezione degli ambienti di cloud computing (che attualmente copre il 3% della spesa).

Seguono la Security Awareness & Training, in crescita per il 56%, e la Cyber Insurance, indicata dal 52%, con una quota attuale di mercato del 2,5%. La metà delle grandi imprese, il 50%, dedica all’information security piani di investimento pluriennali, in crescita di 11 punti nel 2017 rispetto al 2016, quando erano soltanto il 39%. Fra queste, il 23% inserisce questi investimenti anche nel piano industriale. Il 29% si limita, invece, a prevedere piani di investimento annuali, mentre c’è ancora una fetta consistente di imprese, pari al 21%, che afferma di predisporre un budget per la sicurezza solo in caso di necessità.

IL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI STILATO DALL’UE

Il fattore di traino di questa tendenza è sicuramente l’adeguamento al GDPR, – acronimo di General Data Protection Regulation -, regolamento generale sulla protezione dei dati applicabile a partire dal 25 maggio 2018 con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini e dei residenti nell'Unione Europea, sia all’interno che all’esterno dei confini UE. Tra gli effetti, la spinta a stipulare polizze contro il rischio cyber: un fenomeno che coinvolge le grandi imprese, dove sono cresciute del 12%; nell’82% dei casi coprono le violazioni dei dati personali di terze parti.

Soltanto l’8% delle imprese dichiara una scarsa conoscenza delle implicazioni legate alla sicurezza informatica - contro il 23% nel 2016 -, mentre sale dal 9% del 2016 al 51% il numero di aziende in cui è già in corso un progetto strutturato di adeguamento al regolamento UE.

Un’impresa su tre - il 34% - sta invece analizzando i requisiti richiesti e i piani di attuazione possibili. Alla maggiore conoscenza corrisponde anche un deciso incremento delle risorse: il 58% delle aziende ha un budget dedicato, di cui il 35% con orizzonte annuale e il 23% su base pluriennale, mentre erano soltanto il 15% dodici mesi fa, 7% pluriennale e 8% annuale.

Resta ancora molto elevata, tuttavia, la percentuale di organizzazioni senza un budget dedicato: il 42%, divise fra il 23% che prevede di stanziarle nel corso dei prossimi sei mesi e il restante 19% che non lo ha ancora programmato.

Le principali azioni in corso o già realizzate dalle aziende riguardano la valutazione dell’adeguamento (87%), l’individuazione di ruoli e responsabilità (80%), la stesura o la modifica della documentazione (77%), la definizione delle politiche di sicurezza e valutazione dei rischi (77%), la creazione e l’aggiornamento del registro dei trattamenti (74%), la valutazione di impatto sulla protezione dei dati personali (57%), la procedura di infiltrazione dei dati (53%) e il servizio di Data Protection Officer (50%).

NASCITA DI NUOVE PROFESSIONALITA’

Insieme al mercato è previsto anche l’aumento dell’organico in information security e privacy: tra le nuove professionalità in crescita in ambito security figurano in primo piano security administrator, security architect, security engineer; all’ultimo posto si trova il machine learning specialist.

× Share with the users on your own network

CONDIVIDI