La cybersecurity è un tema centrale e trasversale che coinvolge direttamente non solo i responsabili Ict e i chief security officer, ma riguarda le agende dei Ceo e dei consigli di amministrazione.
La conferma della centralità della tematica è data anche dai trend del mercato, cresciuto a un tasso superiore a quello del mercato digitale italiano nel suo insieme, pari al 10,8% (secondo gli ultimi rilevamenti di NetConsulting cube), sfiorando i 900 milioni di euro.
Con un trend Tcma 2017-2020 del 12,2% la cybersecurity si conferma quindi prioritaria.
Alla progressione hanno contribuito varie componenti, sia quelle che incidono maggiormente sulla spesa, come i servizi di sicurezza gestiti e la cloud security (+14,1%), sia ambiti minori in valore assoluto, ma non meno rilevanti, come l’hardware e il software (rispettivamente cresciuti del 16,1% e 11,3%, spinti dagli investimenti su endpoint e network security, application security e threat intelligence) oltre che dalla spesa per consulenza (+16,9%).
Significativo, anche se con ritmi di crescita meno sostenuti (+6%) l’apporto degli altri servizi del mercato cybersecurity, come quelli per di vulnerability assessment su sistemi tradizionali, apparati mobile e applicazioni, e il supporto al security & risk assessment.
Le soluzioni di threat intelligence – basate su algoritmi di machine learning e artificial intelligence e trasversali a vari ambiti – rappresentano il segmento più dinamico (crescita a doppia cifra negli ultimi anni e in ulteriore crescita nei prossimi).
Nessuno è al sicuro
Nessuna tipologia di organizzazione è da ritenersi esente da rischi: negli ultimi anni sono stati violati i sistemi di aziende che operano a livello mondiale ed è cresciuta in modo veloce la diffusione di malware (emblematico il caso di WannaCry) in grado di colpire in modo indistinto organizzazioni sia grandi, come compagnie telefoniche, ospedali, industrie, università e ministeri, che piccole.
Ad accrescere il profilo di rischio di aziende ed enti stanno contribuendo tecnologie diventate ormai imprescindibili per l’attività stessa delle organizzazioni.
Tra queste sono le tecnologie mobili, con le app, siano esse a supporto dell’attività del personale interno che destinate ai clienti, viste dalla maggior parte delle organizzazioni come quelle a maggior impatto sui livelli di rischio informatico.
A questo si affiancano la crescente necessità di aprire i servizi aziendali a terze parti, attraverso Api, e le tecnologie IoT, che presupponendo scambi di dati e informazioni tra oggetti connessi si presentano come i nuovi vettori di attacchi e ambiti primari di investimento per proteggere un perimetro sempre più esteso di reti, software connessi/sensoristiche.
L’evoluzione normativa influenza la cybersecurity
La crescente attenzione al tema si lega sia all’aumento delle minacce, da cui è sempre più difficile proteggersi, sia all’evoluzione normativa a livello europeo, con l’entrata in vigore del General Data Protection Regulation (Gdpr) e il recepimento della direttiva Nis (Network Information Security). Il Gdpr infatti uniforma la legislazione dei paesi membri in materia di protezione dei dati personali.
Il Nis si pone l’obiettivo di rafforzare la capacità di gestione della sicurezza di reti e sistemi a livello europeo e di facilitare la condivisione delle informazioni su rischi e minacce tra paesi membri, con l’obbligo di creare a livello nazionale un’autorità competente per la gestione dei rischi informatici in caso di incidenti che coinvolgano le infrastrutture critiche.
A livello italiano, il Nis è recepito nel Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica in Italia, predisposto dal Consiglio dei Ministri già a marzo 2017.
Nel Piano Triennale per l’Informatica nella Pubblica Amministrazione 2017-2019, redatto da AgID nel corso del 2017, si dedica un capitolo specifico alla sicurezza, indicando obiettivi e linee di azione per incrementare il livello di sicurezza delle PA e il livello di condivisione di informazioni e scenari, a partire da un ruolo rafforzato del Cert-PA.
Effetto Gdpr
Come anticipato, a rafforzare il trend di crescita del mercato della cybersecurity ha contribuito la richiesta di supporto al percorso di adeguamento al Gdpr, provenuta da aziende ed enti soprattutto nella seconda parte dell’anno e che proseguirà nel primo semestre 2018.
L’adeguamento al Gdpr, a differenza di altre normative adottate in passato, ha impatto sia a livello organizzativo sia di strumenti e soluzioni IT, e chiede budget rapportati alle dimensioni e alle complessità delle aziende.
Tra le misure previste, alcune hanno un forte riflesso sulla spesa in cybersecurity, tra cui quelle per: procedere con la mappatura di tutti i dati trattati, la valutazione e il conseguente adeguamento delle specifiche misure di protezione, inclusi i sistemi di crittografia; ma anche per consentire all’interessato di esercitare il diritto d’accesso ai dati trattati e il diritto all’oblio, e cioè di interrompere la diffusione e l’elaborazione delle informazioni personali e di ottenerne la cancellazione attraverso la revoca del consenso.
Inoltre quelle per garantire all’interessato il diritto alla portabilità dei dati, ovvero di ricevere e trasferire liberamente a un altro titolare i propri dati personali e infine per la notifica all’authority e agli interessati di eventuali incidenti di data breach.
In molti casi – enti pubblici e realtà appartenenti al mondo sanitario, che trattano dati su larga scala – l’adeguamento sta determinando anche cambiamenti organizzativi, con la creazione di nuove figure, come il Dpo (Data Protection Officer), e in ogni caso la revisione della documentazione e dei processi relativi ai vari attori coinvolti nella gestione dei dati (titolare, responsabile, incaricati), portando alla costruzione del cosiddetto “organigramma della privacy”.
In prospettiva l’entrata in vigore del Regolamento ha determinato un incremento delle attività di formazione, non solo limitate al personale Ict, ma a tutte le figure coinvolte nel trattamento della gestione dei dati e delle informazioni.
Hanno assunto rilevanza temi come quello della software quality e della cosiddetta privacy by design e by default, cui lo stesso regolamento fa riferimento per garantire la sicurezza degli applicativi sin dalla fase di creazione e sviluppo.
Evidente il riflesso sulle banche, per esempio. In questo ambito la cybersecurity, continua a rappresentare un driver di investimento importante, sia per la necessità vitale di rafforzare la protezione da possibili minacce, sia per l’avvio di progetti collegati all’introduzione proprio del Gdpr, che vede le banche in prima linea in ragione della quantità di dati sensibili di cui le banche sono in possesso.
L’impatto della normativa risulta elevato, assorbendo budget molto rilevanti. I progetti sono focalizzati principalmente sulla revisione di alcuni processi in ottica privacy/security by design, oltre che sull’adozione di tecnologie per l’archiviazione sicura e la protezione dei dati in tutti i flussi.
Cybersecurity e PA
Il tema, in ogni caso, si conferma tra i più trasversali in assoluto, quando si parla di trasformazione digitale.
Le aziende si trovano a rivedere le politiche di disaster recovery e business continuity e a ridefinire il proprio livello di maturità in ambito cybersecurity, sia quando si tratta di proteggere infrastrutture fisiche (anche in ambito IoT) sia quando il tema della protezione riguarda i dati, e non solo quelli sensibili.
Andiamo ancora oltre. Per quanto riguarda la spesa digitale della PA, il tema della sicurezza assume un’importanza rilevante all’interno della cornice del Piano Triennale.
Con l’obiettivo di razionalizzare i data center si guarda innanzitutto a disaster recovery, business continuity e cybersecurity, cui corrispondono specifiche linee guida.
Inoltre, il Dpcm Gentiloni, recependo la direttiva Nis (Network e Information Security) sulla sicurezza delle reti e dei sistemi informativi a livello europeo, ha disegnato un nuovo apparato di governance in ambito cybersercurity, confermando la presenza del Cert Nazionale in capo al Mise, che si integra con il Cert PA in seno ad Agid.
Inoltre viene rafforzato il ruolo del Dipartimento delle Informazioni per la Sicurezza (Dis) ed è istituito un nuovo Centro di Valutazione e Certificazione Nazionale, con lo scopo di verificare la sicurezza nei prodotti e dispositivi destinati alle infrastrutture critiche nazionali.
A seguito del decreto citato è stato varato il nuovo Piano Nazionale per la protezione cibernetica e la sicurezza informatica, che ha come obiettivo la semplificazione del processo decisionale in caso di attacchi e il rafforzamento della capacità di contrasto agli attacchi unificando i Cert.
Contestualmente negli ultimi due anni si sono visti significativi investimenti, non solo in termini di prodotti e servizi ma anche dal punto di vista della governance, con particolare attenzione al Gdpr che, per le realtà pubbliche, dispone l’obbligo di identificazione e creazione della figura del Dpo (Digital Protection Officer).
© RIPRODUZIONE RISERVATA