Mercati

Sicurezza informatica aziendale: così le imprese cambiano marcia grazie al GDPR

Complice il GDPR, le imprese stanno aumentando la spesa in sicurezza informatica e maturando un approccio al tema più maturo e risk based. Ma in questo quadro complessivamente positivo non mancano elementi di preoccupazione legati a PMI, IoT e protezione della proprietà intellettuale. Ecco i dati e le analisi dell’Osservatorio Information Security & Privacy del Politecnico di Milano ulteriormente approfonditi da ZeroUno con un’intervista ad Alessandro Piva, Direttore dell’Osservatorio

Pubblicato il 14 Feb 2018

nuove professioni security

Il GDPR sta funzionando: sebbene non manchino ritardi ed elementi che suscitano preoccupazione, la ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano di quest’anno rileva dati finalmente incoraggianti sul piano degli investimenti aziendali in sicurezza informatica e della maturità d’approccio con cui le imprese affrontano il tema, e la leva principale del cambio di marcia è certamente da identificare con l’avvicinarsi della scadenza del 25 maggio imposta dalla normativa europea del GDPR. La ricerca è stata presentata recentemente durante il convegno GDPR e Security: un percorso impervio… a trazione integrale (la metafora automobilistica sta indicare appunto la maggior capacità delle aziende di progredire nel proprio security journey) e sviluppata dai ricercatori del Politecnico nel corso del 2017; ha coinvolto 160 grandi imprese e 947 PMI nelle figure di CISO, CSO, CIO, Risk Manager, Chief Risk Officer, DPO (Data Protection Officer).

Crescono gli investimenti in security

Tra i dati che suscitano ottimismo due certamente da citare: la crescita del 12%, 2017 su 2016, del mercato delle soluzioni di sicurezza informatica, che quest’anno raggiunge gli 1,09 miliardi di euro e, per quanto riguarda le sole grandi imprese, il 75% dei rispondenti che afferma di aver aumentato rispetto all’anno scorso gli investimenti in materia di sicurezza, con incrementi di varie entità.

Quest’anno la crescita dovrebbe essere anche maggiore: Gabriele Faggioli, Responsabile Scientifico Osservatorio Information Security & Privacy e presidente Clusit si aspetta un aumento degli investimenti quando più aziende procederanno con il proprio percorso di adeguamento al GDPR e, presa consapevolezza dei rischi, attueranno interventi di spesa per l’implementazione di tecnologie aggiuntive; una ricerca della Digital Transformation Academy del Politecnico di Milano offre conferme: l’ambito “Sicurezza, Compliance, Risk management” schizza dal decimo al quarto posto (2018 su 2017) tra le priorità di investimento delle aziende.

Quali sono i principali driver: normative e media

Driver principale di questa accelerazione, come accennato, il GDPR: “La spesa fatta per sostenere progetti di adeguamento alla normativa contribuisce per più della metà alla crescita di investimenti registrata”, dice Alessandro Piva, Direttore, Osservatorio Information Security & Privacy.

GDPR awareness e misure di adeguamento
Figura 1 GDPR: l’awareness e le misure di adeguamentoFonte: Politecnico di Milano

Altri numeri confermano la concentrazione degli sforzi in questa direzione (da qui in poi ci si riferisce solo al campione delle grandi imprese): nel 51% delle aziende è in corso un progetto strutturato di adeguamento al GDPR (erano appena il 9% un anno fa, figura 1) e il 58% del panel (rispetto al 15% del 2016) ha già un budget dedicato a questo percorso di adeguamento.

L’attenzione dei media sul tema (si pensi alla visibilità che hanno avuto attacchi quali WannaCry, Equifax, Meltdown e Spectre) ha avuto un ruolo agevolatore: “L’anno scorso parlavamo di minacce nascoste che rischiavano di essere il tallone d’Achille della nuova società dell’informazione che si sta sviluppando – ha detto Mariano Corso, Responsabile Scientifico, Osservatorio Information Security & Privacy aprendo il convegno – Oggi queste minacce non sono più nascoste: il mondo si è reso conto di essere incredibilmente vulnerabile rispetto a quello che è il rischio informatico e il tema è stato travolto da un’ondata di popolarità”. Una simile attenzione mediatica, come fa notare Faggioli, è stata certamente preziosa per aiutare a sensibilizzare non solo cittadini e lavoratori ma anche il management aziendale, fino a pochi anni fa generalmente non attento all’ambito security.

Un approccio alla sicurezza più consapevole

“La speranza – dice Piva – è che la spinta contingente legata agli adempimenti normativi sia poi anche effettivamente l’occasione per attuare quei processi di trasformazione organizzativa che possono dare strutturalità a queste spese”. Alcuni dati sembrano suggerire che l’approccio delle aziende alla sicurezza stia effettivamente maturando:

Assessment rischio cyber crescita utilizzo di framework e standard
Figura 2Assessment del rischio cyber: cresce l’utilizzo di framework e standardFonte: Politecnico di Milano
  • le imprese riflettono sul tema del rischio: come mostra la figura 2, sebbene ancora poco diffusi, cresce l’utilizzo di framework e standard per gestire l’assessment del rischio cyber e l’interesse per le opzioni di esternalizzazione del rischio attraverso la cyber insurance.
  • è in atto un ripensapemento del modo in cui viene gestita la security; l’80% delle imprese ha già affrontato la fase di individuazione dei ruoli e delle responsabilità necessari a gestire il percorso di adeguamento al GDPR: “Una percentuale significativa – commenta Faggioli – perché suggerisce l’idea che si stia pensando alla materia non solamente da un punto di vista puramente tecnologico, ma anche organizzativo; durante i workshop svolti in fase di ricerca le imprese hanno dibattuto moltissimo su questo argomento”.
  • Nelle aziende entrano nuove competenze: significative le percentuali di chi prevede un aumento dell’organico addetto agli ambiti Information Security e Privacy (rispettivamente 39% e 49%), di chi si sta dotando di professionalità altamente qualificate in ambito security (figura 3) e delle realtà che hanno già introdotto o introdurranno entro un anno la figura del DPO, Data Protection Officer (rispettivamente 25% e 57%).
nuove professioni security
Figura 3 Aziende che hanno già inserito o stanno valutando di inserire nuove professionalità in ambito securityFonte: Politecnico di Milano

Interessanti le riflessioni emerse durante la tavola rotonda sul tema della gestione del rischio: secondo Vinicio Mazzei, IT Risk, Security and Compliance Manager, Sapiem, “il nuovo regolamento europeo è la spinta che mancava per fare un passo avanti verso quell’approccio risk based finora rimasto solo un desiderata e per spostare il perimetro delle responsabilità legate al cyber risk al di fuori dell’IT, come è corretto che sia: il rischio è un problema aziendale, non solo tecnologico”; Renato Sesana, Partner BRS, Grant Thornton Financial Advisory Services sottolinea che “l’analisi del rischio dev’essere un percorso davvero interdisciplinare che coinvolge legal, IT e business owner” e riflette sul fatto che il calcolo del rischio, così come viene indicato dal GDPR, risulta complesso perché è difficile stimare non tanto le probabilità di incidente, quanto “la gravità degli impatti sui diritti e le libertà delle persone”, un concetto astratto, difficile da quantificare; Enrico Luigi Toso, IT regulatory risk and control specialist, Deutsche Bank insiste sulla necessità di considerare il calcolo del rischio un compito mai chiuso, che si protrae nel tempo: “Esercitarsi al rischio non vuol dire fare del rischio un mero esercizio, non è un compito che si esaurisce nel momento in cui abbiamo realizzato un risultato; ci si deve interrogare continuamente”.

Ritardi e ambiti trascurati: IoT, social, proprietà intellettuale e PMI

Il quadro descritto non è tuttavia privo d’ombre:

  • se è bene che esista il driver della compliance, è comunque poco confortante che gli ambiti non normati dal GDPR vengano spesso dimenticati; diversi risultati della ricerca sembrano rilevare questo problema; sul tema gestione del rischio, per esempio, c’è una forte attenzione per i dati personali sensibili, ma resta decisamente ignorata la proprietà intellettuale (figura 4). Come dice Faggioli: “Poiché è perlopiù la normativa a guidare le scelte di protezione, non si stanno distribuendo correttamente gli investimenti su tutti quei mondi che effettivamente dovrebbero riguardare il rischio cyber”. E sulla stessa linea Raoul Brenna, Responsabile della Practice Information Security & Infrastructures, Cefriel – Politecnico di Milano: “Il fatto che il problema della perdita della proprietà intellettuale sia ignorato fa impallidire un Paese come nostro, dove questa determina la vita di tante piccole o medie imprese che rappresentano l’eccellenza”.
approcci per la gestione del rischio
Figura 4 Gli approcci per la gestione del rischioFonte: Politecnico di Milano

  • La distribuzione dei budget (figura 5) premia in modo iperbolico la GDPR compliance e mostra una confortante attenzione per device mobili e ambienti Cloud ma rileva pochi sforzi per la protezione di social media, ambienti di artificial intelligence e dispositivi IoT ; su quest’ultimo tema diversi relatori si sono espressi sottolineando l’urgenza di attuare azioni volte a migliorare la sicurezza by design degli oggetti IoT anche, come ha sottolineato Alessandro Cosenza, Chief Information Security Officer, BTicino, sollecitando un dialogo tra le imprese produttrici: “Oggi il mercato si aspetta da un ecosistema IoT che sia realmente aperto, che possa interagire e integrarsi anche con sistemi prodotti da altre aziende; per puntare a una sicurezza end to end è dunque necessario attivare una discussione tra le imprese dell’offerta per confrontarsi su standard, linee di riferimento, esperienze e arrivare a un approccio sistemico uniforme tra gli stakeholder”.
scomposizione del mercato Information Security
Figura 5 La scomposizione del mercato Information SecurityFonte: Politecnico di Milano

  • Le PMI sono in forte ritardo sul piano tecnologico, organizzativo, di adeguamento alla normativa (più della metà non sa cosa sia il GDPR). Come hanno sottolineato Piva, per aiutarle sul piano della compliance “sarà necessario un maggiore coinvolgimento delle Associazioni di categoria per identificare delle linee guida diversificate, adatte al panorama delle piccole e medie imprese, spesso molto differenti tra loro in termini di tipologia di business”. Più in generale, secondo Faggioli, il problema della sicurezza per le realtà più piccole sempre più si risolverà con l’affidamento dei dati alla nuvola, scelta che in futuro potrebbe essere incentivata anche sul piano normativo: “Molte PMI non hanno i budget per proteggere adeguatamente i dati ‘in casa’ ed è inutile aspettare che la situazione cambi: l’esternalizzazione in cloud sembra l’unica strada effettivamente percorribile e mi aspetto nel prossimo futuro un trend di spesa che andrà in questa direzione”. E la figura 6 sembra confermare che la nuvola stia già influenzando le scelte di security delle PMI.
PMI trend scelte security
Figura 6 PMI: trend che influenzano le scelte di securityFonte: Politecnico di Milano

Freni e potenzialità della cyber insurance in Italia

Il mercato della cyber insurance in Italia sta crescendo e molte imprese, spinte dal GDPR, stanno valutando la possibilità di esternalizzare il rischio; è ancora tuttavia necessario un percorso di maturazione per superare criticità legate a problemi di linguaggio, complessità della materia e possibilità di rischi sistemici.

motivazioni stipula polizze
Figura 7 La motivazioni che guidano la stipula delle polizzeFonte: Politecnico di Milano

Secondo la ricerca nel 2017 il 27% delle grandi aziende intervistate ha già stipulato polizze assicurative per trasferire il rischio cyber o coprirlo parzialmente, contro il 15% del 2016. Come ricorda Piva nell’intervista rilasciata a ZeroUno, il GDPR sta spingendo le imprese ad aumentare gli investimenti in sicurezza, guidandole verso un approccio alla sicurezza più consapevole e risk based; la normativa si sta dimostrando un driver forte anche in ambito assicurativo ma l’immaturità del mercato per molte aziende rappresenta un freno importante (figura 7); tra le problematiche che rendono critico il suo sviluppo e che generano questo rallentamento:

  1. “Ci sono forti problemi di linguaggio”, dice Piva, che spiega come per il mercato assicurativo sia difficile capire in modo approfondito il funzionamento delle soluzioni tecnologiche di security, elemento fondamentale da valutare per fare il calcolo dei rischi che si vogliono assicurare; è un elemento che rappresenta un freno, precisa Piva, “anche quando l’assicurazione si avvale di persone tecniche a supporto del proprio personale”, azione che non risulta sufficiente a colmare il gap di linguaggio, e “anche perché le aziende utenti sono per ovvie ragioni restie a condividere alcune informazioni riservate che invece all’assicurazione servirebbero per generare un’offerta assicurativa”;
  2. In ambito cyber security la valutazione del rischio “è un’operazione di per sé complessa – dice Piva – Lo è persino per l’azienda utente che conosce tutte le informazioni a disposizione: è spesso difficile attribuire un valore alla perdita di una certa informazione, pesare gli impatti diretti e indiretti di questa perdita sul business e sulle terze parti coinvolte”.
  3. Ci si interroga sulla possibilità che si verifichi un rischio sistemico: “Se sempre più imprese si affidano a un certo provider cloud e quel provider cloud viene attaccato – spiega Piva – potenzialmente tutti i clienti assicurati potrebbero nello stesso momento subire lo stesso danno [dunque fare contemporaneamente richiesta di risarcimento rendendo difficile per l’assicurazione gestire la situazione sul piano finanziario – ndr]”

Grazie al GDPR tuttavia, spiega Piva, il mondo della cyber insurance italiano si sta progressivamente evolvendo e con questa evoluzione anche le criticità descritte potranno trovare una soluzione: “Negli Stati Uniti, dove oggi l’assicurazione del rischio rappresenta un mercato enorme, sono state le normative a rappresentare la leva principale di sviluppo”; ora che le aziende sono mosse dalla compliance, il percorso della cyber insurance potrebbe avere in prospettiva la stessa fortuna.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4