Impresa & Territori

Dalle imprese un miliardo in cyber-difese, ma la metà non ha un…

Information security

Dalle imprese un miliardo in cyber-difese, ma la metà non ha un manager

Quasi un miliardo di euro, per la precisione 972 milioni con un aumento del 5% sull’anno precedente. È quanto hanno investito nel 2016 le imprese italiane con almeno dieci addetti alla voce information security. Una frazione rispetto ai quasi 66 miliardi che rappresentano il mercato Ict nel nostro paese.

Contro le cyberminacce si schierano risorse sufficienti? «Il tasso di crescita è in linea con il trend internazionale ma non ci tranquillizza - risponde Alessandro Piva, direttore dell’Osservatorio Information security e privacy del Politecnico di Milano -. Solo una grande azienda su due ha il manager per la gestione della sicurezza informatica, insomma siamo ancora indietro».

LO SCENARIO
(Fonte: Osservatorio information security e privacy. School of management del Politecnico di Milano)

Una su sei dispone di un piano pluriennale di difesa con riferimenti al piano industriale e guardando tra le grandi società quotate si arriva al 58 per cento. C’è un aumento della consapevolezza verso le minacce digitali ma solo in una società su tre viene varato un piano organico annuale mentre in un altro 27% il budget viene stanziato all’occorrenza. In altre parole troppo spesso manca una cabina di regia che organizzi difese efficaci in una ottica di medio periodo.

In azienda i principali capitoli di spesa sono la tecnologia, i servizi di integrazione It, il software e i servizi esternalizzati mentre i “cantieri aperti” ovvero le grandi società stanno lavorando, spaziano dagli attacchi simulati ai sistemi aziendali, test indispensabile per saggiare le difese perimetrali, per finire con i molteplici aspetti della sicurezza delle informazioni. E una impresa su sette ha già sottoscritto una polizza assicurativa contro i cyber rischi e i danni causati a terzi.

Si lavora anche su cloud, sui dispositivi mobili ma, per esempio, per l’internet delle cose pilastro dell’industria 4.0 si fa ancora troppo poco. Solo il 13% del campione ha adottato delle policy in merito e il 40% sta valutando le possibili azioni di difesa. Anche per i dispositivi smart si fa ancora troppo poco: appena il 10% delle organizzazioni interpellate adotta delle soluzioni It specifiche. È quanto rivela la seconda edizione dell’Osservatorio Information security e privacy che giovedì verrà presentato a Milano.

Cyberminacce sempre concrete, venerdì la notizia dell’attacco riuscito ad Alphabay, marketplace del dark web che offre merci rubate e illegali, ma invisibili perché gli attacchi vengono scoperti troppo tardi. «Tra le aziende del nostro Paese quasi un attacco su tre va a buon fine e nel 66% dei casi viene scoperto, in media, dopo sei e più mesi. Tra le criticità c’è inoltre la difficoltà di disporre di personale specializzato e le strategie di risposta offrono ampi spazi di miglioramento - aggiunge Paolo Dal Cin, Accenture security lead per Italia, Europa Centrale e Grecia -. Per questo le imprese dovranno lavorare sempre di più e meglio sulla parte di definizione strategica e sulla prevenzione, puntando in modo significativo sull’innovazione».

Oltre alla tecnologia c’è poi il fattore umano. «Il rischio di violazione può anche dipendere dall’uomo– premette Stefano Minini, Risk & advisory services partner di Bdo Italia, multinazionale della consulenza -. Le aziende devono valutare quindi non solo i rischi di natura It e intervenire sui processi gestionali dello staff, sulla formazione del personale, su un sistema di controllo interno capace di identificare, prevenire e reagire alle diverse tipologie di rischio. Investendo sulla prevenzione l’impresa può disporre di un robusto punto di forza».

C’è poi la parte di intelligence con l’analisi dei dati raccolti nel corso degli attacchi e altre attività sospette, passo propedeutico in una logica di anticipare le minacce secondo modelli predittivi e di risposta/reazione.

© Riproduzione riservata