Sicurezza

Information security a 1,3 Mld di €: GDPR, “fattore umano” e “Security by design” temi chiave

Il mercato italiano della sicurezza IT cresce dell’11% e arriva a 1,3 Mld di €: crescono sensibilità, consapevolezza e investimenti con il 51% delle imprese che dichiara un aumento del budget. Resta fondamentale la centralità delle persone e l’attenzione ai comportamenti. Un focus speciale sulla OT Security tra i temi del convegno di presentazione dei risultati della ricerca dell’Osservatorio Information Security & Privacy

Pubblicato il 06 Feb 2020

Information-security-osservatorio-4

Se tutti adottassero comportamenti corretti e se tutti applicassero best practice avremmo uno scenario in termini di Information Security più tranquillo e meno soggetto a rischi. In altre parole, se si deve identificare il fattore che più di altri oggi può incidere sulla sicurezza, questo è rappresentato dal “Fattore Umano“. A prescindere dal livello di digitalizzazione delle imprese e delle organizzazioni, che è comunque importante, la sensibilizzazione, la consapevolezza e la formazione delle persone, a vari livelli, è indiscutibilmente uno dei temi chiave dell’Information Security.

E’ questa una delle evidenze più significative dello scenario, dei dati e del confronto che arriva dal convegno di presentazione della ricerca dell’Osservatorio Information Security & Privacy. L’evidenza più importante, va comunque detto, è che la sicurezza ha fatto importanti progressi, anche a partire dai numeri del mercato, ma resta il fatto che il vero tema è primariamente nel ruolo, nelle competenze, nella sensibilità e nella capacità decisionale delle persone, come sottolinea Mariano CorsoResponsabile Scientifico Osservatorio Information Security & Privacy, Politecnico di Milano, in apertura del convegno dal titolo emblematico: Security-enabled transformation: la resa dei conti.

Persone, competenze, nuovi rischi e security by design

“L’information security – osserva Corso – più che una sfida tecnologica, deve essere vissuta come una sfida organizzativa e culturale” e anche per questo porta subito l’attenzione sul delicato tema delle competenze: mettendo in evidenza che nel 40% delle grandi organizzazioni non esiste una specifica funzione Information Security.

Gabriele FaggioliResponsabile Scientifico Osservatorio Information Security & Privacy e Presidente, Clusit, porta l’attenzione sulle altre evidenze chiave come i temi della Privacy, come i consistenti miglioramenti in termini di azioni legate all’adeguamento al GDPR e non ultimo le aspettative nei confronti del Cybersecurity Act. Nello stesso tempo tempo richiama l’attenzione su due temi che ritornano più volte nel corso del convegno, ovvero sui nuovi rischi e sulle nuove minacce e parallelamente sulla necessità per le aziende e le organizzazioni di progettare una Information Security by Design.

L’ultima evidenza, ma non certo per importanza, è la scalata dell’Information security tra le priorità di investimento delle imprese e delle organizzazione nell’ambito dei progetti di digital transformation.

Information security in Italia: il mercato cresce dell’11% e arriva a 1,3 Mld €

La domanda di soluzioni e di servizi cresce e i numeri parlano di un mercato che sta rispondendo. Alessandro Piva, Direttore Osservatorio Information Security & Privacy, mette in evidenza che il mercato del nostro paese per l’Information security è passato dai 1.190 milioni di euro del 2018 ai 1.317 del 2019 con una crescita dell’11% superiore al 9% dell’anno precedente.  La spesa si concentra sulle componenti più tradizionali, mentre è in crescita la quota dedicata ai servizi.

“Il segnale positivo – ha osservato Piva – è che l’Information security entra appunto tra le priorità di investimento dei progetti di innovazione digitale, anche in termini di attenzione e sensibilità presso figure che nelle organizzazioni non sono direttamente coinvolti su questi temi”. Viene riconosciuta la concreta pervasività di questo tema all’interno dei progetti di trasformazione digitale delle imprese. A sua volta Piva ricorda che la gestione del fattore umano, anche dal punto di vista della sensibilizzazione dei dipendenti, rientra tra le priorità di azione in ambito security

Budget in crescita per l’Information security e cresce l’attenzione ai servizi

In un mercato in espansione il 51% delle aziende dichiara di aver messo a budget un aumento degli investimenti in sicurezza che in termini di composizione si suddividono in un 52% indirizzato verso soluzioni di security e in un 48% orientato ai servizi. la dinamica di crescita premia in particolare i servizi che segnano una progressione sul 2018 del 45%. Come più volte evidenziato mancano i profili, le competenze, sia dal punto di vista delle specifiche responsabilità sulla sicurezza, sia in termini di specifici skill di settore. Il dibattito nel corso del convegno ha più volte portato l’attenzione su quanto e come la sicurezza debba essere vissuta come un potente cambiamento culturale: ed è significato che il 40% delle aziende sia alla ricerca di figure in grado di affrontare i temi della sicurezza.  In particolare, il 51% di queste aziende cercano Security Analyst, il 45% esprime una necessità di Security Architect e il 31% guarda ai Security Engineer. Appare ancora scarsa, però, la maturità organizzativa delle imprese: si insiste sul fatto che nel 40% delle organizzazioni non esiste una specifica funzione Information Security, che rimane all’interno dell’IT, e molto spesso, come vedremo, il responsabile della sicurezza è lo stesso CIO.

Il ruolo del GDPR e del Cybersecurity Act per l’Information security

Un contributo importante sia in termini di crescita della consapevolezza sia come sviluppo del mercato, è arrivato, dall’adeguamento al GDPR con il 55% delle imprese che dichiarano di aver completato il processo e con una crescita del 31% sul 2018. Grazie anche a un importante aumento degli investimenti (nel 45% delle imprese) migliora la situazione relativa alle competenze e all’organizzazione e il 61% delle organizzazioni può contare su un Data Protection Officer. Da notare inoltre che nel 53% delle imprese il budget è rimasto costante, mentre – e questo è un altro dato da leggere in chiave di prospettiva di sviluppo del mercato – nel 10% delle imprese poi il tema dell’adeguamento GDPR non è ancora all’attenzione del Board.

Si è poi detto all’inizio delle aspettative legate al Cybersecurity Act che punta a dare vita a un framework più chiaro per la certificazione della sicurezza digitale di prodotti ICT e servizi digitali e che sembra aver incontrato un positivo riscontro da parte delle imprese: nel 67% dei casi ritiene di avere strumenti per poter indirizzare le proprie scelte in modo più chiaro e sicuro.

Piva, sottolinea che con un 40% di imprese che non dispone di una specifica funzione dedicata alla sicurezza ci si deve confrontare con contesti nei quali queste competenze e queste funzioni sono in capo a diverse figure con diverse responsabilità. Diventa prioritario, in queste realtà, dare vita a un modello che permetta di sviluppare forme di coordinamento tra questi skill per avere una regia e governare le esigenze di security in modo da gestire sia la mappatura e il monitoraggio delle minacce e dei rischi sia le modalità di intervento.

Nella risposta alla domanda di crescita di competenze le aziende stanno rispondendo con un 55% di realtà che dispone di piani formativi pluriennali per tutti i dipendenti, con un 25% che focalizza l’attenzione e la formazione alle sole aree IT, Risk Management e Compliance. Resta poi un 20% di realtà che rimane priva di progetti formativi definiti.

AI e blockchain al servizio della sicurezza

Un’attenzione particolare, tra le tecnologie esponenziali, viene portata al rapporto tra Intelligenza Artificialeblockchain e Information security. Ma prima di portare la lente su queste due tecnologie serve una visione di insieme in termini di priorità di investimenti che mettono in relazione l’Information security e la data protection con i principali trends tecnologici. In questa lettura il Cloud guida le prospettive delle aziende con il 67%, segue il mondo Mobile con il 43% e tutto l’ambito dei Big Data con il 41%. Le tematiche dell’Industry 4.0 hanno raccolgono un 39% di attenzione, l’eCommerce & Payment sono al 37%. Le tre tecnologie esponenziali sulle quali si concentra l’attenzione di imprese e organizzazioni in termini di progettualità più “avanzate” sono l’Internet of Things con il 31%, Artificial intelligence con il 27%, Blockchain con il 13%, e al 10% il 5G.

Il 45% delle grandi imprese dichiara di utilizzare soluzioni di AI per la gestione della sicurezza. In particolare, come osserva Piva, cresce l’utilizzo in logica sperimentale di queste tecnologie per la sicurezza. E l’AI è oggi più una opportunità che una minaccia e permette di disporre di nuovi strumenti di difesa. Si, ma come? La ricerca ha analizzato anche questo scenario partendo dalla premessa fondamentale, sottolineata da Piva, che l’AI non sostituirà il fattore umano, ovvero le applicazioni di Intelligenza artificiale non possono sostituire la capacità di valutazione e decisione dell’uomo per quanto attiene le problematiche di security. L’89% del campione è convinto che la persona resta al centro, ma nello stesso tempo nel 77% tiene in considerazione la necessità di disporre di competenze legate all’AI per la security. Detto dell’importanza delle persone, gli ambiti nei quali queste persone possono sfruttare l’Intelligenza artificiale a vantaggio della sicurezza sono nel rilevamento di potenziali minacce grazie al monitoraggio di comportamenti di sistemi e persone nel 71% dei casi, nella prevenzione di rischi e azioni di phishing (41%) e delle frodi in generale. Seguono poi applicazioni più specifiche al servizio della qualità del software ovvero nella ricerca di vulnerabilità e nella gestione di incidenti.

Passando alla blockchain il 40% delle imprese valuta positivamente l’utilizzo della blockchain per la sicurezza, nel 18% dei casi  non viene giudicata sufficientemente matura mentre per un 42% delle organizzazioni c’è un problema di mancanza di conoscenza di questa tecnologia. Nel complesso, come puntualizza Piva, c’è ancora poco, al di là di un generale interesse, ma in futuro si possono intravvedere degli interessanti casi d’uso a livello di garanzia del dato; di verifica di integrità di software e firmware, di gestione degli asset.

Industria 4.0: è il momento di una vera OT Security

La rivoluzione che è arrivata nelle imprese di produzione sta portando vantaggi e opportunità che stanno cambiano sia i prodotti, sia il modo di produrre. La diffusione di smart connected product e di smart machine, i sempre più numerosi progetti di digitalizzazione di fabbrica sono realtà che interessano un numero crescente di aziende del manifatturiero e che hanno aperto nuovi spazi in termini di prospettive di sviluppo e di esplorazione e realizzazione di nuovi modelli di business. Nello stesso tempo però questo scenario ha anche aperto le porte a nuove minacce, e a nuovi rischi.

Da una fabbrica concettualmente “chiusa” nel senso di spazio logico dedicato alla produzione fortemente perimetrato e completamente focalizzato sui sistemi di produzione si passa a una fabbrica che comunica, che riceve e tramette dati, che fa parte di un ecosistema interconnesso e che in ragione di questa apertura rischia anche di diventare più vulnerabile. Ecco il tema di grande attualità dell’OT Security e alla necessità di allargare l’attenzione del paradigma 4.0 anche ai temi dell’Information security in ambito industriale.

Information security in ambito industriale: quali sono i rischi?

L’Osservatorio Information security ha voluto dedicare una speciale attenzione a questo tema con Giorgia Dragoni, ricercatrice dell’Osservatorio che porta subito l’attenzione sul concetto di Operational technologies security con il quale si vuole indirizzare la necessità di mettere in sicurezza i componenti hardware e software dedicati al monitoraggio e al controllo di processi e asset fisici, prevalentemente in ambito industriale o nei settori che gestiscono infrastrutture critiche.

Quali sono dunque i principali rischi? Dragoni mette in evidenza che il rischio di vedere fermare la produzione rappresenta la preoccupazione principale (54%), meno rilevanti in termini quantitativi (20%), ma certamente molto importanti, i rischi che derivano dall’introduzione negli stabilimenti e negli ambienti di produzione di nuove metodiche legate al rapporto tra operatori e macchine. Nel momento in cui si entra nell’ambito di un rapporto di collaborazione fisica tra robot e operatori si entra in uno spazio in cui è necessario prendere in considerazione nuovi pericoli per le persone e nuove forme di gestione della safety. Accanto a questi rischi che sono specifici del mondo operations si aggiungono poi i rischi più convenzionali legati all’accesso ai dati relativi alla produzione, ovvero alla protezione del dato digitale delle operations, sia per quanto attiene alla possibile perdita dei dati stessi, sia in termini di furto o frodi perpetrate con azioni che insistono su queste tipologie di dati. Un aspetto questo che deve essere letto considerando che in ambiente operations l’utilizzo del dato può avere un impatto immediato anche sul piano fisico, può cioè creare fermi macchina o potrebbe impedire agli operatori di esercitare un controllo parziale o totale sugli strumenti di produzione.

OT Security: le aziende si stanno muovendo

Dalla ricerca emerge che le aziende di produzione si stanno muovendo e nel 60% dei casi adottato delle soluzioni specifiche di security per la protezione del proprio perimetro industriale. L’altro grande tema, che affronta anche Dragoni, è quello delle competenze da coinvolgere in questi processi. Vale anche per questo mondo la mancanza nel settore di una specifica funzione dedicata all’OT Security, tanto che spesso, per la precisione nel 47% dei casi, la sicurezza è in capo all’IT e solo raramente fa riferimento alle operations. Molto più frequentemente emerge un tema di polverizzazione delle competenze e delle responsabilità: sono quasi il 50% dei casi le realtà con skill di security in capo a diverse funzioni tra IT, Information Security e operations. Significativo che un nutrito gruppo di aziende pari al 22% non abbia ancora figure specializzate ma ha comunque in programma di agire in questa direzione.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Mauro Bellini
Mauro Bellini

Ha seguito la ideazione e il lancio di ESG360, EnergyUP.Tech e Agrifood.Tech di cui è attualmente Direttore Responsabile. Si occupa di innovazione digitale, di sostenibilità, ESG e agrifood e dei temi legati alla trasformazione industriale, energetica e sociale.

Articoli correlati

Articolo 1 di 4