Il mercato Information Security in Italia ha segnato nell’ultimo anno una crescita del 5%, ma con una spesa concentrata soprattutto tra le grandi imprese (74% del totale). Anche il 93% delle PMI ha dedicato un budget al settore – adeguamento normativo (48%), attacchi subiti in passato (35%), nuove esigenze tecnologiche (22%) o di business (31%) – ma con un approccio orientato all’identificazione delle minacce (66%) e alla protezione (66%), molto meno alla rilevazione (12%) e alla risposta (15%).
La maggior parte delle PMI ha soluzioni di base (76%) come antivirus e antispam e il 62% firewall o sistemi di intrusion detection ma una su quattro (25%) non adotta un approccio tecnologico definito. Il 46% ha policy aziendali definite ma solo il 10% programmi di formazione orientati ad aumentare la consapevolezza.
L’attenzione alla rilevazione cresce all’aumentare della dimensione di impresa, passando dall’11% delle piccole imprese al 20% delle medie.
Il 74% delle imprese prevede anche iniziative specifiche per mitigare il rischio connesso alla Mobile Security, che riguardano sia l’introduzione di piattaforme e soluzioni di MDM (Mobile Device Management) per limitare l’utilizzo di device mobili (61%), sia la definizione di regole. Il 27% ha fissato norme che limitano l’accesso a particolari applicazioni e servizi da reti esterne, il 61% ha stabilito policy per l’utilizzo dei device.
I principali rischi per gli ambienti Cloud dipendono oggi dal rapporto col fornitore: 63% mancanza di controllo sulle operations del service provider, 44% il rock in col fornitore e data breach, 41% scarsa trasparenza rispetto agli obblighi contrattuali. Risulta quindi evidente che non sono più le minacce tecnologiche a preoccupare le aziende ma la stesura del contratto e la gestione del rapporto con i provider.
Con lo sviluppo dell’Internet of Things aumenta il numero di dispositivi connessi alla rete e i possibili punti di accesso per un attacco al sistema. Il 47% delle organizzazioni non ha ancora messo in atto nessuna azione per tutelarsi, il 41% sta valutando azioni, il 13% ha policy di security by design (monitoraggio, credenziali, pratiche di programmazione…), il 10% utilizza soluzioni specifiche, il 9% rilevazione dati nel perimetro aziendale e il 5% per la gestione di dati raccolti da oggetti smart.
Fonte: Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano.
