Cresce il mercato dell’information security: 1,3 miliardi di euro nel 2019, +11%

Per il terzo anno consecutivo cresce il mercato dell’information security in Italia, che nel 2019 raggiunge un valore di 1,317 miliardi di euro, in crescita di poco meno dell’11% rispetto all’anno precedente (dopo aver registrato un +9% nel 2018 e un +12% nel 2017). La spesa in sicurezza si concentra soprattutto in soluzioni di security, che raccolgono il 52% degli investimenti (in particolare per componenti di sicurezza più tradizionali), a fronte del 48% nei servizi che però crescono maggiormente (in crescita per il 45% delle aziende). La tecnologia al centro dell’attenzione è l’Artificial Intelligence, già impiegata per la gestione della sicurezza dal 45% delle grandi imprese. A fine 2019, il 55% delle imprese ha completato l’adeguamento al GDPR (erano il 24% lo scorso anno), il 45% ha aumentato gli investimenti a questo scopo e il 61% oggi ha in forza all’interno della propria organizzazione un Data Protection Officer. Ora si guarda agli effetti del Cybersecurity Act, che ha definito un sistema di certificazione per la sicurezza informatica a livello europeo e che per il 76% degli Executive porterà più garanzie di sicurezza, uniformità normativa, vantaggi competitivi e calo dei costi. La spinta normativa e la crescita degli investimenti trainano la domanda di competenze nell’information security. Il 71% delle grandi imprese italiane afferma che il team interno ha già le competenze necessarie, il 40% sta cercando nuovi profili. In particolare, il 51% attualmente è alla ricerca di Security Analyst, il 45% di Security Architect e il 31% Security Engineer, figure quindi in cima alle richieste dei recruiter. Appare ancora scarsa, però, la maturità organizzativa delle imprese: nel 40% delle organizzazioni non esiste una specifica funzione Information Security, che rimane all’interno dell’IT, e il responsabile della sicurezza è lo stesso CIO.

Il mercato dell’Information Security – Il 52% delle risorse è dedicato a soluzioni di sicurezza (in aumento del 26%rispetto al 2018), il restante 48% ai servizi (in crescita per il 45% delle aziende). Tra le soluzioni, la categoria che raccoglie la quota principale della spesa è la “Network & Wireless Security”, intesa come protezione della rete fisica e logica (36%), seguita dalla “Endpoint Security” (20%), che comprende postazioni fisse e dispositivi mobili, e dalla “Application Security” (19%). La protezione degli ambienti Cloud attrae il 13% della spesa e rappresenta la categoria con la crescita più elevata (in crescita per il 55% delle aziende). Vengono poi i dispositivi connessi dell’Internet of Things, col 5%, e un’ulteriore voce marginale in cui rientrano diversi aspetti di governance, che complessivamente coprono il 7% del budget. I servizi più finanziati sono quelli offerti da fornitori esterni all’azienda per progetti specifici (professional services, 54%), ma quelli più in crescita sono i servizi offerti in maniera continuativa da provider esterni all’organizzazione per garantire il supporto e la manutenzione dei sistemi informativi aziendali (in aumento nel 45% delle organizzazioni). I trend dell’innovazione digitale considerati priorità di investimento nell’information security e data protection indicati dalle imprese nell’anno appena trascorso sono Cloud (67%), Mobile (43%) e Big Data (41%). Seguono Industria 4.0 (39%), eCommerce & Payment (37%), Internet of Things (31%), Artificial Intelligence (27%), Blockchain (13%), 5G (10%) e Realtà Aumentata e Virtuale (7%).

I modelli organizzativi per la gestione della security – Dalla ricerca emerge un diffuso ritardo nei modelli organizzativi e di gestione della sicurezza informatica: nel 40% delle imprese è assente una specifica funzione e una figura direzionale dedicata all’Information Security, la cui gestione è affidata ancora al CIO e all’IT. In più di un quarto del campione, inoltre, esiste una funzione esterna ai Sistemi Informativi, ma la figura responsabile della sicurezza (CISO o ruolo equivalente) riporta all’IT (27%). Sono poche le imprese in cui la funzione Security riporta a una funzione aziendale diversa dall’IT (17%) o direttamente al Board (16%). La scarsa maturità organizzativa si riflette nella mancanza di soddisfazione, con oltre metà delle realtà che boccia il modello di gestione della sicurezza impiegato. L’insoddisfazione è più elevata dove la funzione Security riporta alla divisione IT (65%), mentre è minima nelle realtà in cui il CISO riferisce direttamente al Board (il 90% è contento della struttura organizzativa utilizzata). Più strutturata la gestione del fattore umano: nel 55% del campione è attivo un piano formativo pluriennale che coinvolge l’intero personale, nel 25% la formazione è rivolta alle sole divisioni più sensibili al tema (come IT, Risk Management e Compliance), mentre il 20% non ha un progetto formativo strutturato.

L’information security in ambito industriale – L’interconnessione di sistemi industriali e la sempre maggiore diffusione di dispositivi IoT pongono il problema della protezione degli ambienti OT (Operational Technologies). Il principale rischio di OT Security individuato dalle aziende è il fermo della produzione (54%), seguito dalla “safety” (20%), minacciata dall’interazione sempre più diretta fra operatori e macchine (ad esempio la robotica collaborativa), dall’alterazione o modifica della produzione (16%) e dal furto o perdita di dati confidenziali (10%). Per fronteggiare questi rischi, il 68% delle aziende effettua security assessment e/o audit  su sistemi e reti OT e il 60% ha introdotto strumenti di sicurezza specifici per l’ambito industriale. La gestione dell’OT Security all’interno delle grandi aziende viene affidata nella maggioranza dei casi alla funzione IT (47%), mentre è più marginale il ruolo delle divisioni Information Security (11%) e Operations (4%). Nel 23% dei casi se ne occupano più funzioni aziendali, nel 15% la gestione non è affidata a nessuna funzione, profilo o fornitore. In quasi una realtà su due (48%) sono presenti figure interne con competenze di OT Security sparse fra le diverse funzioni aziendali, prevalentemente IT (25%), poi Information Security (15%), Operations (6%) o in altre funzioni (2%). Il 22% non ha ancora inserito figure specializzate ma intende farlo nel corso del 2020, il 30% non ha intenzione di introdurle in futuro.

2020-02-06T16:47:31+00:00