500 milioni di account Yahoo violati, le presunte azioni di cyber-spionaggio durante le elezioni presidenziali USA, la crescita continua dei ransomware. Sono alcuni dei fattori determinanti che hanno fatto crescere nelle aziende italiane, grandi e piccole, la consapevolezza dell’importanza immediata di gestire adeguatamente l’ambito Information Security & Privacy. Rispetto al 2015 il mercato italiano delle soluzioni di sicurezza informatica è cresciuto del 5%, raggiungendo la quota di 972 milioni di euro.
Ad analizzare il fenomeno la ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, che ha coinvolto in totale 951 CISO, CSO e CIO di imprese italiane, di 148 organizzazioni grandi (250 o più addetti) e 803 PMI (piccole e medie imprese tra 10 e 249 addetti).
L’analisi sullle PMI, su cui ci concentriamo in questo articolo, ha messo in luce come le soluzioni di information security siano già oggi ampiamente diffuse: il 93% delle PMI ha dedicato alla sicurezza un budget nel 2016, sebbene questo non corrisponda sempre a un utilizzo maturo e consapevole. Tra le motivazioni che guidano le scelte di spesa delle PMI, l’adeguamento normativo (48%) risulta la principale motivazione di spesa, e gli attacchi subiti in passato (35%).
Dominano quindi le motivazioni reattive, ma anche la volontà di innovazione ha un suo peso. Nel 22% dei casi infatti gli investimenti delle PMI rispondono a nuove esigenze tecnologiche, che richiedono di mettere in sicurezza i dati aziendali – basta pensare alle minacce che derivano da Cloud, Big Data, Internet of Things, Mobile e Social -, o a nuove esigenze di business (31%). In particolare, la motivazione delle nuove esigenze tecnologiche aumenta al crescere della dimensione delle imprese: la percentuale che dichiara di essere principalmente guidata da questo driver infatti è del 21% nelle piccole imprese (10-49 addetti), e del 32% in quelle tra 100 e 249 addetti. Le esigenze di business, invece, guidano in particolare il settore dei servizi (36%).
Poi c’è il tema del fattore umano e della formazione. «Se le grandi imprese sembrano percepire bene il rischio legato al fattore umano, dalla ricerca è emerso che le PMI se
mbrano invece sottovalutare la necessità di creare consapevolezza tra i propri dipendenti», sottolinea Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy.
«Solo il 9% delle realtà di piccole dimensioni (tra i 10 e i 49 addetti) dichiara infatti di effettuare specifici programmi di formazione per aumentare la consapevolezza delle risorse rispetto ai rischi informatici (corsi online o in aula, mail periodiche di aggiornamento, distribuzione materiale informativo, ecc.). La rilevanza attribuita alle azioni di sensibilizzazione cresce con l’aumentare della dimensione aziendale, attestandosi al 20% per le aziende medio-piccole (tra i 50 e i 99 addetti) e al 24% per le imprese più grandi (tra i 100 e i 249 addetti)».
Colpisce il fatto che ancora un’organizzazione su 4 si affida al buon senso dei propri dipendenti, senza seguire un approccio tecnologico definito, a fronte di un più confortante 46% che ha policy aziendali ben definite.
Entrando nel merito dei tipi di soluzioni di sicurezza adottati, la maggior parte delle PMI (76%) dispone di quelle di base, per esempio antivirus e antispam, e il 62% ha anche quelle sofisticate, come firewall o sistemi di intrusion detection.
Dall’analisi per settore è emerso che le aziende del Finance sono quelle dove sono più diffuse soluzioni sofisticate (79%), mentre le Telco sono quelle che hanno sviluppato policy aziendali in modo più diffuso (66%).
Infine, nelle PMI l’approccio alla sicurezza è orientato prevalentemente all’identificazione (66%) e alla protezione (66%), molto meno alla rilevazione (12%) e alla risposta (15%). L’attenzione alla rilevazione cresce all’aumentare della dimensione di impresa, passando dall’11% delle piccole imprese (10-49 addetti) al 20% delle aziende di dimensioni maggiori (100-249 addetti). Il settore delle telecomunicazioni appare quello maggiormente orientato agli aspetti di risposta (40%).
