Il 67% delle imprese italiane manifesta un aumento dei tentativi di attacco informatico e il 14% ha subito conseguenze tangibili a seguito di incidenti, quali interruzioni del servizio, ritardi nell’operatività dei processi o danni reputazionali. In generale, il 92% delle aziende riscontra impatti, positivi o negativi, direttamente riconducibili all’attuale contesto geopolitico che spaziano da un maggiore interesse alla sicurezza da parte del top management fino alla necessità di riorganizzazione delle attività di gestione del rischio cyber. A rilevarlo sono gli esiti della ricerca dell’osservatorio Cybersecurity & data protection della School of management del Politecnico di Milano, presentati in occasione del convegno “Cybersecurity: verso un fronte comune”, in cui si sottolinea che gli attacchi informatici sono in continuo aumento, con 1.141 incidenti gravi rilevati dal Clusit nel solo primo semestre 2022, con +8,4% rispetto allo stesso periodo 2021, e le minacce interessano sempre più anche infrastrutture critiche. «Di fronte a un costante aumento degli attacchi, nel 2022 molte organizzazioni hanno intrapreso, proseguito o potenziato investimenti in sicurezza, adottando nuove tecnologie o rivedendo i processi per proteggere il patrimonio informativo» osserva Gabriele Faggioli, responsabile scientifico dell’osservatorio, «questo avviene anche grazie alla spinta propulsiva del Pnrr e sotto la guida della nuova Agenzia per la cybersicurezza nazionale che oggi ha un ruolo fondamentale di indirizzo per un fronte comune per le sfide che abbiamo di fronte. Il mercato della cybersecurity cresce in modo significativo e l’aumento degli investimenti degli attori privati e pubblici, insieme alla chiara strategia istituzionale, rappresentano un segnale incoraggiante in vista dei prossimi anni».
Imprese italiane e cyber sicurezza. Lungo la penisola sta crescendo l’attenzione per la cybersecurity che nel 2023 si conferma la principale priorità di investimento nel digitale tra le imprese, sia grandi che pmi. Ben il 61% delle organizzazioni sopra i 250 addetti ha, infatti, deciso di aumentare il budget per le attività di sicurezza informatica negli ultimi 12 mesi. Complessivamente, lo scorso anno il mercato italiano della cybersecurity ha raggiunto il valore di 1,86 miliardi di euro, con un’accelerazione del +18% rispetto al 2021. In dettaglio, il rapporto tra spesa in cybersecurity e Pil in Italia si attesta allo 0,10%, in lieve crescita rispetto allo 0,08% dell’anno precedente.
Ma, come evidenziano gli analisti, si tratta di un risultato che colloca il Belpaese all’ultimo posto tra quelli del G7. In tal senso, la classifica è guidata da Stati Uniti e Regno Unito, con un rapporto dello 0,31%. Per Francia e Germania il rapporto è, rispettivamente, lo 0,19% e lo 0,18%. «Oggi la sfida è definire una strategia strutturata di lungo periodo, per creare un fronte comune contro le minacce» evidenzia Alessandro Piva, direttore dell’osservatorio, «per questo obiettivo, servono investimenti con fondi focalizzati rispetto alle priorità aziendali, figure specializzate con competenze di sicurezza informatica e piani di formazione strutturati per tutti i livelli aziendali, insieme a una gestione del rischio cyber con approccio maturo, in un processo di risk management integrato basato su metriche di quantificazione finanziaria facilmente comprensibili per il board aziendale».
Il mercato della cybersecurity. La crescita del mercato italiano è sostenuta, in buona parte, dalle medie imprese che iniziano ad introdurre azioni concrete in materia di cybersicurezza. Suddividendo il mercato nelle diverse componenti di spesa, il 50% è dedicato a servizi, in crescita rispetto allo scorso anno, e l’altra metà a soluzioni di cybersecurity. Per tipologia, invece, le quote maggiori vanno ad aspetti di security tradizionali, ma le componenti più innovative vedono un importante aumento.
L’organizzazione della sicurezza informatica. In base ai risultati della ricerca, nel 53% delle imprese italiane è presente un Chief information security officer (Ciso) formalizzato che si colloca, principalmente, all’interno della direzione It (37%). Parallelamente, però, si stanno avviando iniziative di sensibilizzazione sui possibili impatti cyber delle attività dei dipendenti, infatti l’80% delle organizzazioni ha già definito piani di formazione strutturati che quasi sempre coinvolgono tutti gli attori aziendali. L’efficacia della formazione dipende dalla capacità di focalizzarsi sugli impatti diretti e concreti sperimentati dai dipendenti nelle attività quotidiane.
Come le imprese gestiscono il rischio cyber. Nel 49% delle organizzazioni italiane la gestione del rischio cyber avviene in un processo integrato di risk management aziendale, anche se rimane una quota rilevante che lo tratta come un rischio a sé stante o addirittura non lo monitora costantemente. Solo nel 32% delle aziende vengono applicate metodologie di quantificazione finanziaria del rischio. Questo approccio, sebbene complesso da affrontare, permette di far percepire in maniera efficace ai vertici aziendali l’importanza della cybersecurity, mettendo in evidenza i possibili impatti per il business di un potenziale incidente.
Antonio Longo, ItaliaOggi Sette