A causa della recente ondata di minacce informatiche, cresce l’attenzione delle aziende italiane alla sicurezza. Il mercato, nel 2016, ha raggiunto i 972 milioni di euro. Tuttavia, nonostante la consapevolezza di nuove tecnologie come Cloud, Big Data, Internet of Things, Mobile e Social, un approccio alla sicurezza sul lungo periodo non è ancora diffuso. Solo il 46% delle grandi imprese ha in organico la figura del Chief Information Security Officer, manager responsabile della sicurezza. Sono necessari per le aziende adeguati modelli di governance, progettualità e soluzioni per affrontare questa sfida.
La situazione italiana
Spiega Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy: “ È necessario da una parte progettare sistemi in grado di predire i possibili attacchi, dall’altra sviluppare programmi di sensibilizzazione per gli utenti, al fine di promuovere comportamenti responsabili”.
I dati mostrano come, nella gran parte delle imprese italiane, vi sia maggiore attenzione all’identificazione dei rischi e alla protezione dagli attacchi, mentre è insufficiente il supporto alla rilevazione degli eventi, risposta e ripristino.
Con la diffusione dell’Internet of Things aumenta il numero di dispositivi connessi alla rete, ma anche i possibili punti di accesso per un attacco informatico. Ben il 47% delle aziende ancora non ha messo in atto alcuna misura per tutelarsi in questo ambito.
Il fattore umano
Nella sicurezza è fondamentale prestare attenzione ai fattori legati al comportamento umano. Distrazione e mancanza di consapevolezza sono spesso sfruttate dai cybercriminali per introdursi nei sistemi delle aziende. È necessario formare gli utenti aziendali tramite azioni specifiche quali comunicazioni inviate ai dipendenti, corsi di formazione e distribuzione di materiale informativo. Il 95% delle aziende ha messo in atto delle iniziative in questo senso, ma solo per il 28% di loro si tratta di progetti strutturati e su un orizzonte a lungo termine.
Le PMI sono pronte?
Il 93% delle PMI italiane ha dedicato del budget all’information security nel 2016, ma ciò non significa necessariamente un uso maturo e consapevole. Ben il 25% non ha un approccio tecnologico definito e solo il 9% delle piccole aziende ha specifici programmi di formazione sui rischi informatici. Tale percentuale sale al 20% per le aziende medio-piccole e al 24% per quelle tra i 100 e i 249 addetti.