L’information security vale sempre di più. Ma ancora non si vede.
Il mercato dell’information security è in aumento, ma le aziende italiane non sono ancora al passo con gli standard.
Il 2016 è stato un anno complesso per l’information security e per tutto l’insieme di azioni per la protezione delle informazioni: 500 milioni di account Yahoo violati, accuse di cyber-spionaggio durante le elezioni americane, l’attacco DDoS a uno dei più grandi DNS provider del mondo e il boom dei ransomware. Non c’è da stupirsi se in questo contesto il mercato delle soluzioni di sicurezza ha toccato in Italia i 972 milioni di euro.
La crescente preoccupazione per la salvaguardia dei dati sensibili ha portato il settore a una crescita del 5% rispetto all’anno precedente. La spesa è stata guidata dalla grandi imprese (74% dei consumatori), le quali hanno puntato principalmente su:
- Strumenti tecnologici (28%)
- Servizi IT e di consulenza (29%)
- Software (28%)
- Outsourcing di servizi (15%)
Tuttavia, nonostante i dati economici incoraggianti, lo scenario italiano relativo alla sicurezza digitale è ancora piuttosto arretrato. Secondo una ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, le imprese italiane sono in netto ritardo nell’adeguamento alle misure per la protezione dell’informazione: nel 61% dei casi manca un piano d’investimento a lungo termine, mentre il 54% delle aziende è sprovvisto di una figura formalizzata e responsabile per la sicurezza.
Proprio la mancanza di un responsabile formato nell’ambito dell’information security (il cosiddetto Chief Information Security Officer) è la principale lacuna per quanto riguarda le strategie aziendali.
Mancano gli esperti di information security
Perché l’assenza di un professionista dedicato influisce così tanto sulla strategia generale dell’azienda? La risposta sta nella ricezione del nuovo Regolamento europeo per la privacy: senza un coordinatore designato, le aziende difficilmente possono comprendere e mettere in atto tutte le misure richieste dalla normativa, con procedure apposite, progetti e soluzioni per l’adeguamento alle richieste.
Tra le grandi imprese, infatti, solo il 46% presenta una figura formalizzata, mentre nel 12% dei casi essa è presente ma senza formalizzazione. C’è poi un ulteriore 9% in cui l’introduzione di tale responsabile è prevista entro un periodo di 12 mesi.
Questi dati mostrano come, nonostante la crescente spesa, il mercato italiano non sia ancora maturo, dal momento che manca un’adeguata consapevolezza dei rischi, così come mancano corretti programmi di formazione e di gestione delle pratiche. Tutte cose legate fondamentalmente all’assenza di una figura coordinatrice.
Questa arretratezza rischia quindi di lasciare esposti dati e informazioni ai rischi sulla Rete, con un potenziale danno economico per le aziende, le quali rischiano di vanificare gli sforzi che cominciano ad essere fatti in materia di sicurezza digitale.