Privacy e security, qual è lo scenario attuale?
23 Gennaio 2020 in Governance Risk & Compliance As a Service - GRC360
L’obiettivo della cyber security e dei programmi relativi alla privacy è la difesa dagli attacchi informatici, che, nell’83% dei casi sono perpetrati a scopo di truffa sfruttando phishing e compromissione delle email aziendali, a scopo di estorsione nel 78% dei casi, attraverso attività di intrusione, a scopo di spionaggio nel 46% e finalizzate all’interruzione di servizio nel 36%. Nei prossimi 3 anni le imprese temono che le loro azioni di cyber security e privacy dovranno fronteggiare spionaggio (55%), truffe (51%), manipolazione dell’opinione pubblica (49%), presa di controllo di impianti (40%). Gli obiettivi degli attacchi attuali sono gli account email (91%) e social (68%), seguiti dai portali di e-commerce (57%) e siti web (52%).
Il mercato di privacy e security
È questo, in estrema sintesi, il quadro disegnato dall’ultimo Report dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano che evidenzia come, per rispondere al continuo aumento delle minacce, il mercato per le soluzioni di cyber security e privacy sia aumentato del 9%, nel 2018 rispetto all’anno precedente. Il 75% della spesa complessiva in soluzioni di cyber security e privacy è concentrata nelle grandi imprese, con una significativa focalizzazione sull’adeguamento al regolamento europeo GDPR e nelle aree più tradizionali della sicurezza, come reti, business continuity e disaster recovery, sicurezza degli end point. Il 63% delle grandi imprese ha aumentato il budget e il 52% prevede piani pluriennali anche se purtroppo circa un quinto delle imprese non prevede investimenti dedicati.
Secondo le valutazioni IDC, evidenziate nel Report Clusit 2019, il 32% delle imprese dedica alle tecnologie per la sicurezza fino al 3% del budget ICT (stimato a sua volta in espansione dal 30% e stabile dal 60%), il 26% tra il 3 e il 10%, mentre solo il 4% investe oltre il 10% del proprio budget ICT e aumenta in modo sostanziale la frequenza di imprese con un budget compreso approssimativamente tra il 7% e il 12%.
Cyber security e privacy: il driver è l’adeguamento GDPR
L’88% del budget per Cyber security e privacy è stato dedicato all’adeguamento per la normativa europea (il 30% in più rispetto all’anno precedente) e, a fine 2018, quasi un quarto dei progetti GDPR era stato completato, mentre quasi il 60% dei progetti strutturati era ancora in corso. Il 67% delle imprese prevede di stanziare un budget anche per attività di mantenimento dei progetti, come audit periodico, revisione del registro dei trattamenti, adeguamento delle procedure e delle tecnologie di sicurezza e protezione dei dati.
L’attenzione all’adeguamento richiesto dal GDPR sembra dunque piuttosto diffusa, nonostante vi siano settori più sensibili alla protezione dei dati personali e all’innovazione nel rapporto con gli interessati introdotta dal regolamento europeo, come le aziende B2C rispetto alle aziende che operano in un mercato B2B e quelle che operano in settori innovativi rispetto a quelle che operano in mercati tradizionali.
Privacy e sicurezza, aziende più consapevoli
Possono considerarsi buone notizie sia il fatto che ormai solo il 10% delle imprese manifesti scarsa conoscenza della normativa GDPR sia che nel 71% delle imprese monitorate dall’Osservatorio sia presente il DPO (era 46% l’anno precedente) e nel 59% sia presente il CISO.
Poco più di metà delle imprese ha infine accantonato risorse da dedicare all’eventuale gestione degli incidenti di sicurezza che comprendono i costi di notifica di eventuali data breach al Garante per la protezione dei dati personali. La decisione può considerarsi saggia per chi l’ha presa ma non è detto che le cifre allocate siano adeguate, visto che, secondo il rapporto Ponemon, in Italia il costo di un data breach è aumentato da 2,75 milioni di dollari nel 2018 a 3,52 milioni di dollari nel 2019.
Le principali difficoltà incontrate nel corso dei progetti di adeguamento al GDPR riguardano la raccolta e la mappatura dei dati personali (52%), la scarsa sensibilizzazione dei dipendenti (38%) e l’inadeguata sponsorizzazione della direzione aziendale (37%), che però registra un aumento del 63% rispetto all’anno precedente.
Alessandro Vallega – Information & Cyber Security Advisor, Partners4Innovation