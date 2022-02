Nel 2021 il mercato italiano della sicurezza informatica ha raggiunto un valore di 1,55 miliardi di euro, con una crescita del 13% rispetto al 2020: la più alta degli ultimi anni, anche quelli pre-Covid.

In uno scenario di grande turbolenza, dall’esplosione dello smart working che allarga il perimetro di esposizione delle aziende al continuo aumento di attacchi gravi, che arrivano a colpire sistemi sanitari, istituzioni e intere filiere produttive e logistiche, nel 2021 i segnali positivi dalle aziende e dalle istituzioni italiane – sintetizzati appunto dalla forte crescita del mercato – sono stati diversi e confortanti.

Cybersecurity prima priorità d’investimento, sia per le grandi imprese sia per le PMI

Prima di tutto il 60% delle grandi organizzazioni ha aumentato il budget per la cybersecurity, che è diventata la prima priorità di investimento sia appunto per le grandi imprese (per il secondo anno consecutivo), sia per le PMI (per la prima volta: due anni fa era addirittura la tredicesima priorità di investimento). Inoltre è aumentata dopo molti anni la presenza di un responsabile formalmente incaricato della IT Security nelle aziende.

Altro segnale positivo sono le 13 operazioni straordinarie (acquisizioni, fusioni, quotazioni) con aziende italiane di cybersecurity come protagoniste, con 24 realtà coinvolte e un giro d’affari di diverse centinaia di milioni di euro.

E poi c’è il fronte istituzionale. Il PNRR prevede nella Missione 1 investimenti per 623 milioni di euro in presidi e competenze di cybersecurity nella PA, e nella Missione 4 ulteriori fondi per la promuovere partenariati su temi innovativi, tra cui appunto la sicurezza informatica. Ed è finalmente stata costituita l’Agenzia per la Cybersicurezza Nazionale (ACN), nata per definire una strategia a livello di sistema Paese e diventare un riferimento a livello nazionale e internazionale per imprese e istituzioni.

Questi i principali concetti della nuova ricerca dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, presentata ieri al convegno “Cybersecurity: don’t look up”. Un titolo, ha spiegato aprendo l’evento Mariano Corso, responsabile scientifico dell’Osservatorio, riferito al recente film: “Vogliamo sottolineare che proprio in questo momento in cui le aziende italiane finalmente stanno riconoscendo che la cybersecurity è una priorità strategica, c’è ancora una parte delle imprese, della politica e dell’opinione pubblica che ancora non ha capito l’importanza della cybersecurity: non bisogna abbassare la guardia, e mettere subito in atto strategie di lungo periodo”.

Perché l’Italia è più colpita di altri paesi avanzati

“Ben il 31% delle grandi imprese italiane ha rilevato un ulteriore aumento degli attacchi informatici nell’ultimo anno, dopo le forti crescite degli anni scorsi, e questo rispecchia i dati del Clusit secondo cui dal gennaio 2018 al giugno 2021 ci sono stati oltre 6000 attacchi gravi nel mondo, di cui 143 in Italia, che ne ha subiti più di Francia e Germania, con la sanità come settore più colpito, e anche il manifatturiero sopra la media”, ha aggiunto Gabriele Faggioli, altro responsabile scientifico dell’Osservatorio.

“Perché l’Italia è più colpita? Perché risente di un tessuto economico molto sbilanciato verso le PMI, che strutturalmente hanno meno risorse da dedicare alla cybersecurity, e di investimenti in sicurezza IT più bassi degli altri paesi avanzati: oggi spende in cybersecurity lo 0,08% del PIL, contro lo 0,25% del Regno Unito, lo 0,24% degli USA, e lo 0,16% di Germania e Francia”.

“Ma quello che voglio soprattutto sottolineare”, continua Faggioli, “è che questa situazione non è un momento di “cyber-guerra” e di particolare intensità degli attacchi che poi si risolverà. Non è una situazione eccezionale. Come ci sarà sempre traffico di droga e di armi, ci sarà sempre criminalità informatica: è uno standard a cui ci dobbiamo abituare affrontandolo in modo sistematico e strutturale”.

Le aree più in crescita: Endpoint Security e Cloud Security

Ma veniamo a qualche dato più di dettaglio della ricerca. Il mercato italiano di 1,55 miliardi di euro è composto per il 52% da soluzioni di IT security, e per il 48% da servizi, a loro volta articolati per circa la metà in servizi professionali e per l’altra metà in servizi gestiti.

Le soluzioni su cui si spende di più sono Vulnerability Management e Penetration Testing, SIEM (Security Information ed Event Management), Identity & Access Management, Intrusion Detection, e Data Loss Prevention, mentre le aree di IT Security con più investimenti (sia per soluzioni che per servizi) sono le più tradizionali – Network & Wireless (31%), Endpoint (23%) e Application (15%) – ma quelle a più alta crescita sono Endpoint Security e Cloud Security, la prima per le nuove modalità di lavoro post-pandemia, e la seconda per la forte diffusione del ricorso al cloud delle imprese italiane.

Nel 46% delle aziende italiane c’è un Chief Information Security

Quanto all’atteggiamento delle imprese, la ricerca comprende un’indagine su 132 grandi imprese e una su 503 PMI, da cui emerge che dopo anni di “crescita zero” delle strutture di IT Security nelle aziende, il 2021 ha visto crescere di 5 punti la presenza formale del responsabile della sicurezza informatica: oggi nel 46% delle imprese italiane c’è un CISO (Chief Information Security Officer), che nella maggioranza dei casi riporta alla Direzione IT (34%) e ha un team dedicato nel 78% dei casi.

Nel restante 54% di aziende, il 25% affida l’IT Security al CIO, il 10% a una figura che si occupa anche di sicurezza fisica (CSO), l’11% a funzioni di controllo o altre figure, e l’8% non ha nessuna figura specifica responsabile della cybersecurity.

Inoltre a fronte dello scenario di forte crescita dello smart working e degli attacchi, solo il 5% ha proceduto a una revisione completa della strategia di gestione della sicurezza IT definita in precedenza, mentre il 54% delle grandi realtà ravvisa la necessità di rafforzare le iniziative di sensibilizzazione del personale sui comportamenti da tenere nelle nuove modalità di lavoro. Il 58% ha definito un piano di formazione strutturato sulle tematiche di cybersecurity e data protection per tutti i dipendenti, e un altro l’11% solo per le specifiche funzioni e ruoli più a rischio. Nel 30% dei casi sono state realizzate azioni di sensibilizzazione meno strutturate e sporadiche, e solo l’1% non ha previsto nessuna attività di formazione.

Risk Management, un passo indietro: cresce l’approccio a silos

Quanto alla nuova Agenzia per la Cybersecurity Nazionale (ACN) – di cui al convegno è intervenuto il responsabile operazioni Gianluca Galasso, che ha spiegato che l’ACN oggi conta già su 75 esperti e specialisti, che raddoppieranno a fine 2022 per arrivare a regime a 800 risorse – le grandi imprese italiane si dimostrano aperte e disponibili: il 17% esprime la volontà di collaborare con l’Agenzia, più di metà (53%) è in attesa di linee guida e indicazioni, un ulteriore 22% vuole approfondire meglio il ruolo dell’ACN, mentre uno sconfortante 8% riferisce di non averne mai sentito parlare.

Infine il risk management delle minacce informatiche, ambito in cui la pandemia, sottolinea l’Osservatorio, ha lasciato uno strascico negativo, favorendo il ritorno dell’approccio a silos. Nel complesso la percentuale di aziende che hanno processi formalizzati di cyber risk management non è calato di molto (87% contro l’89% del 2019), ma sono fortemente diminuite le aziende che lo gestiscono in modo integrato e centralizzato (da 49% a 38%) e parallelamente sono aumentate dal 40% al 49% quelle che lo trattano all’interno di singole funzioni.