Nel complesso, la crisi legata al Covid-19 ha rallentato la crescita del mercato della cybersecurity ma non l'ha fermata. Nel 2020 la spesa in soluzioni di cybersecurity ha raggiunto un valore di 1,37 miliardi di euro, in crescita del 4% rispetto all'anno precedente (nel 2019 il mercato aveva segnato un +11% rispetto al 2018), di cui il 52% è rappresentato dalle soluzioni di security e il 48% dai servizi. Gli investimenti in cybersecurity sono legati principalmente alla gestione dell'emergenza, come testimonia la crescita della spesa in Endpoint Security. Cloud, Smart Working e Big Data sono i trend del digitale che hanno maggiormente influenzato la gestione della sicurezza negli ultimi dodici mesi. Degni di nota anche Operational Technology (OT) Security, che riscontra un'accelerazione degli investimenti, e Artificial Intelligence, utilizzata in ambito cybersecurity dal 47% delle aziende.
Nonostante un mercato in crescita e il ruolo sempre più strategico della cybersecurity, – rileva il Rapporto – le imprese presentano ancora una scarsa maturità organizzativa. Solo nel 41% la responsabilità della sicurezza informatica è affidata a un Ciso e ancora nel 38% dei casi non è prevista nessuna comunicazione al Board sull'argomento. La gestione della data protection è più evoluta, anche per effetto della spinta normativa, con il 69% delle imprese che ha inserito un Data Protection Officer (DPO) in organico e il resto che si avvale di figure esterne.
"Il 2020 è stata una vera e propria odissea, con un aumento senza precedenti degli attacchi informatici, la necessità di riorganizzarsi per gestire l'improvviso boom dello smart working e la razionalizzazione del budget a disposizione per affrontare le sfide di sicurezza a causa del grave impatto economico della pandemia – afferma Alessandro Piva, direttore dell'Osservatorio Cybersecurity & Data Protection –. Nonostante il contesto negativo, il mercato non ha smesso di crescere e la maggior parte delle imprese ha colto l'occasione per investire, rinnovarsi e aumentare la sensibilità dei dipendenti sul tema. La cybersecurity può essere la chiave per evolvere e gestire i cambiamenti in atto, ma deve essere gestita in modo più maturo e strategico".
"Anche nel 2020, nonostante l'emergenza sanitaria, sono stati fatti importanti passi avanti nell'ambito cybersecurity – afferma Gabriele Faggioli, responsabile scientifico dell'Osservatorio Cybersecurity & Data Protection –. Il mercato italiano della cybersecurity, però, è ancora limitato in rapporto al PIL, con un'incidenza di appena lo 0,07% nel 2019, circa 4-5 volte in meno rispetto ai paesi più avanzati. E dalla ricerca emerge anche la necessità di rafforzare il presidio delle normative, anche considerando le sanzioni comminate dalle Autorità competenti e gli importanti data breach di cui si ha avuto notizia nel corso dell'anno".
Sul fronte del mercato della cybersecurity la tipologia di sicurezza che attira la maggior parte degli investimenti è la Network & Wireless Security (33%), le strategie e le soluzioni che proteggono l'infrastruttura da danni e accessi impropri. Seguono la Endpoint Security (23%), ovvero la protezione di ciascun dispositivo connesso alla rete, e la Data Security (14%), i sistemi per la protezione dei dati dell'azienda e dei singoli utenti. La sicurezza degli ambienti Cloud vale il 13% della spesa, la Application Security il 12%, mentre è ancora marginale la IoT security (3%). Infine, vi è un'ulteriore categoria residuale che occupa il restante 2%, in cui rientrano principalmente le iniziative di cybersecurity awareness e training. La spesa si divide quasi a metà fra le soluzioni di security, col 52% del mercato, e i servizi professionali e gestiti, col 48%. Le soluzioni su cui le aziende investono maggiormente sono sistemi per il monitoraggio degli eventi di sicurezza (16%), per gestire e monitorare l'accesso degli utenti a dati e applicazioni (14%), per valutare la vulnerabilità e la sicurezza di sistemi, applicazioni o reti (14%), per analizzare l'esposizione al rischio cyber dei sistemi aziendali e valutarne la conformità agli standard di sicurezza (12%) e soluzioni che monitorano il traffico di rete per identificare e bloccare accessi non autorizzati (11%). Fra i servizi, il 51% della spesa è dedicato ai Professional Services, i servizi offerti da fornitori esterni all'azienda per un progetto specifico, mentre il 49% riguarda i Managed Services, i servizi offerti in modo continuativo da fornitori esterni per la manutenzione dei sistemi informativi aziendali.
I trend in ambito cybersecurity e data protection vedono il Cloud influenzare maggiormente la gestione della cybersecurity nelle imprese, insieme allo Smart Working e ai Big Data. Nell'ultimo anno sono emersi servizi Cloud di tipo edge, che estendono i confini della nuvola, ma le aziende lamentano ancora scarsa consapevolezza delle minacce da parte del top management (74%), un aumento degli attacchi più evidente rispetto ad altri ambiti (64%) e difficoltà a relazionarsi con i cloud service provider perché hanno poco potere negoziale (74%) o faticano a fare security assessment (66%). Fra le altre tendenze più rilevanti figura anche l'accelerazione degli investimenti in OT security, a cui però non si accompagna un'adeguata maturità: solo un'impresa su due ha introdotto policy di OT security e meno di un terzo prevede attività di formazione specifiche sulla materia. L'Artificial Intelligence si conferma un tema di interesse per le aziende, che la impiegano in ambito cybersecurity nel 47% dei casi (ma solo nel 14% in modo significativo) soprattutto per identificare nuove minacce (68%) e per il monitoraggio del comportamento di sistemi e utenti al fine di rilevare anomalie (66%). Cresce anche l'importanza della Supply Chain security, le attività di protezione dei sistemi e delle reti di terze parti, ma finora solo il 13% del campione ha messo in campo strumenti tecnici e predisposto un presidio organizzativo formale.
Le realtà più piccole hanno faticato ad adeguarsi ai nuovi modelli di organizzazione del lavoro imposti dall'emergenza. Secondo il 59% delle pmi intervistate dall'Osservatorio, l'uso di device personali e reti domestiche ha esposto le aziende a maggiori rischi di sicurezza, e per il 49% sono aumentati gli attacchi informatici. Sebbene la cybersecurity inizi a farsi strada tra le priorità, le pmi faticano ancora a tradurre la percezione in concretezza: solo il 22% ha previsto investimenti in sicurezza per il 2021, il 20% li aveva previsti ma ha dovuto ridurre il budget in seguito all'emergenza, un terzo non ha un budget da dedicare (32%) e oltre un quarto non è interessato all'argomento.
Chi investe si concentra soprattutto sulla componente tecnologica: il 41% intende investire in soluzioni di sicurezza di base, come antivirus o firewall, il 37% guarda a soluzioni più sofisticate, come sistemi di Intrusion Detection o Identity & Access Management. Per quanto riguarda la gestione della cybersecurity, il 32% del campione ha investito in formazione su sicurezza e data protection ai dipendenti, il 28% si è rivolto a consulenti per migliorare la gestione della cybersecurity in azienda, il 18% ha introdotto competenze dedicate come Security Analyst o Security Administrator e il 15% ha stipulato polizze assicurative per il trasferimento del rischio cyber.
© RIPRODUZIONE RISERVATA