Nonostante in tutto il mondo il Cybercrime sia la prima causa di gravi attacchi informatici, le aziende italiane investono ancora pochi soldi in sicurezza IT per difendersi. Infatti nel 2015 sono stati spesi circa 300 milioni di euro per i software in grado di fronteggiare i cyberattack, un budget che in prospettiva crescerà appena del 2% fino al 2018.
Il dato emerge dal rapporto 2016 sulla sicurezza ICT in Italia curato da CLUSIT, l’Associazione Italiana per la Sicurezza Informatica, che ogni anno fornisce il quadro aggiornato ed esaustivo della situazione globale della sicurezza informatica.
300 milioni sono tanti o pochi?
Se si pensa all’alto costo del cybercrime per le aziende, 300 milioni all’anno sembrano pochi. Infatti dal grafico seguente si legge che il costo medio degli incidenti Cyber per azienda in Italia è aumentato del 70% in 3 anni. Soldi alla mano ora alle imprese gli attacchi informatici costano circa 2 milioni di euro, rispetto a 1,39 milioni del 2012.
Perché le aziende non investono di più per evitare il rischio di perdite di dati e asset aziendali?
Il costo potenziale di un attacco è molto più elevato rispetto ad un investimento preventivo per garantire la sicurezza IT.
Il campione
Il campione della ricerca è di 223 imprese con oltre 50 addetti, in particolare hanno risposto alle domande del questionario sia le figure apicali dell’IT aziendale (CIO/direttori) sia figure più specializzate che danno una centralità di rappresentanza al tema della Sicurezza IT (Chief Information Security Officer, IT Security Manager), nonché figure di middle management più generaliste per cui la sicurezza IT è un compito imprescindibile (IT manager/Responsabile IT).
Nel 2018 solo il 2% in più della spesa per la sicurezza informatica
Sebbene le trasformazioni radicali dello scenario di rischi e di minacce degli ultimi anni abbiano trovato un ampio riflesso nel rinnovamento delle proposte dei principali operatori, il mercato italiano ancora stenta a esprimere livelli di spesa più significativi, in parte per una questione prettamente culturale, in parte per una questione strutturale. Il valore complessivo di oltre 300 milioni di euro crescerà a stento nei prossimi anni: il tasso di crescita medio al 2018 è di circa il 2%, secondo le stime (Figura 1, fonte: IDC Italy, 2015).
L’andamento della spesa in Sicurezza IT nel 2015
Circa il 41% delle imprese con oltre 50 addetti ha dichiarato un incremento della spesa negli ultimi 12 mesi, nella maggior parte dei casi contenuto sotto il 10%. In posizione minoritaria, circa 12%, quanti hanno segnalato una riduzione. La gran parte delle imprese italiane, oltre il 47%, ha deciso di mantenere inalterato le risorse economiche per combattere i cyberattack.
(Figura 4).
Il quadro generale consente una duplice lettura, sia positiva, che negativa: da un lato, seppure molto lentamente, le imprese italiane stanno superando, e molte hanno già superato, la fase più critica di razionalizzazione della spesa IT e stanno riprendendo a investire in una funzione strategica; dall’altro, conoscendo quanto siano limitati gli investimenti IT, e soprattutto quelli relativi alla Sicurezza, appare evidente che il mantenimento di un livello di spesa inadeguato lascia le imprese italiane esposte a un rischio IT sempre più prominente a livello internazionale.
3 dipendenti su 10 temono i danni di immagine e al brand aziendale
Esistono altre dimensioni di rischio rispetto le quali si osserva una sostanziale convergenza di valutazioni: in particolare, il tema dei danni all’immagine (per il 36,2%) e al brand aziendale (per il 30,5%) insieme al tema del costo di recupero e ripristino dei sistemi dopo un incidente appaiono equamente percepiti dal campione intervistato.
Quasi la metà delle aziende riconosce l’importanza di investire di più nella Sicurezza IT
Le tensioni politiche internazionali tra NATO e Federazione Russa, le ripercussioni diplomatiche del caso Snowden e di PRISM, una rinnovata consapevolezza dell’opinione pubblica in merito allo spionaggio industriale e alle prassi di intercettazione di massa delle comunicazioni condotto da diversi governi, le nuove forme di associazione criminale attraverso l’impiego del Web come strumento di propaganda e reclutamento da parte del terrorismo internazionale, hanno ulteriormente accresciuto l’attenzione rispetto al tema della modernizzazione delle infrastrutture e dell’investimento nella CyberSecurity. L’ingresso nell’arena di nuove agenzie sponsorizzate da governi e dal terrorismo si aggiungono alle organizzazioni criminali e alle associazioni di hacktivist, dando ulteriore impulso all’industrializzazione del malware e all’ingegnerizzazione di nuove strategie di attacco, mostrando sempre più spesso l’inadeguatezza dei tradizionali sistemi di Sicurezza IT.
Non a caso il 48% delle aziende intervistate riconosce l’importanza di investire più risorse economiche per i progetti di Sicurezza per l’information technology. Questo è il desidero, la realtà mostra una spesa risicata.