Cyber-rischio: le imprese italiane lo capiscono, ma si difendono
Se persino la Banca d’Italia ha inserito il cyber-rischio tra le nuove vulnerabilità delle imprese italiane, allora lo scenario è davvero cambiato. Almeno in termini di analisi. Perché in termini di difesa concreta le imprese italiane hanno ancora molta strada da fare. Soprattutto devono ancora investire molto. Infatti per la Banca d’Italia la spesa media delle imprese per difendersi da cyber-attacchi è appena 4.530 euro, corrispondenti al 15% della retribuzione annuale lorda di un lavoratore senza mansioni dirigenziali. Un po’ poco. Come basso è anche il numero delle imprese assicurate contro il cyber-rischio. Però ci sono segnali incoraggianti sulla crescente presa di consapevolezza delle imprese verso i costi dei cyber-attacchi. Insomma, le imprese italiane maturano la coscienza del rischio ma non arrivano ancora a destinare un budget adeguato.
CYBER-ATTACCHI: RISCHIO GRANDE, MA DIFESE ANCORA LIMITATE
E’ chiaro che ci sono differenze, anche profonde, tra un settore e l’altro. Le imprese a basso contenuto tecnologico spendono ancora meno, circa 3.500 euro, viceversa quelle più grandi, fino a oltrepassare i 19.000 euro per le aziende del settore ICT. In sette casi su dieci, le imprese colpite da attacchi informatici devono destinare risorse aggiuntive al ripristino dei sistemi e sono costrette a rallentare l’attività. E’ un’altra, nuova, fonte di danno economico. Secondo i dati di Banca d’Italia tra chi ha subito almeno un attacco, nel 18,6% dei casi – nel caso di imprese con più di 500 addetti – il costo per rimediare ai danni varia tra i 10 mila e i 50 mila euro. La stessa spesa è affrontata dal 9,2% delle imprese tra 200 e 499 addetti e dal 13% di quelle nella fascia 50-199. Le percentuali calano considerando i costi tra 50 mila e 200 mila euro: si va dal 2,4% delle imprese più grandi allo 0,6% di quelle più piccole.
Poi c’è il paradosso: si investe prevalentemente per una formazione di base – due imprese su tre dichiarano di istituire i dipendenti sull’uso sicuro dei dispostivi informatici – e per svolgere analisi sulla vulnerabilità delle reti (metà del campione). Solo un terzo invece arriva fino alla cifratura dei dati, sebbene sia una pratica in realtà meno costosa delle altre. E’ una «asimmetria informativa» che, secondo la Banca d’Italia, produce danni.
Chiaramente la vulnerabilità è in larga parte influenzata dalla preparazione digitale. I rischi sono più diffusi tra le imprese ad alto contenuto tecnologico che non operano nel settore dell’ICT dal momento che, al contrario di quelle a bassa tecnologia, attraggono gli attacchi ma diversamente da quelle ICT non hanno ancora sviluppato una sufficiente capacità di difesa. Per questa tipologia di aziende è più alta la probabilità che l’attacco porti all’interruzione dell’attività (72,7% dei casi). Banca d’Italia cita come esempi le imprese che fanno ricorso all’e-commerce e al cloud computing, così come ai dispositivi dell’IoT (internet delle cose): non solitamente richiese nozioni tecniche avanzate e di conseguenza anche il livello di difesa si abbassa. Al contrario, chi fa uso dell’intelligenza artificiale ha solitamente un livello di competenza più alto e in parallelo una maggiore attenzione alla sicurezza informatica.
La scarsa attenzione verso le assicurazioni: un segnale del ritardo del nostro Paese proviene anche nella diffusione di coperture assicurative. In Italia circa un quinto delle imprese con almeno 20 addetti è assicurato contro danni da attacchi informatici. Ma solo una minoranza tra queste (tra il 5 e il 10%) ha sottoscritto una polizza autonoma e specifica, che ha tra l’altro il vantaggio di dare maggiore trasparenza nel calcolo del premio.
CRESCE LA CONSAPEVOLEZZA DELLE IMPRESE, ALMENO SULLA PRIVACY
Eppure qualcosa si muove, in positivo. Eppure, secondo l’ultimo rilevamento dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, nel 2017 il mercato delle soluzioni di Information Security in Italia ha raggiunto un valore di 1,09 miliardi di euro, in crescita del 12% rispetto al 2016. La spesa si concentra prevalentemente fra le grandi imprese (il 78% del totale), trainata dai progetti di cyber-security e adeguamento al GDPR (General Data Protection Regulation), che contribuiscono ad oltre metà della crescita registrata.
Insieme al mercato cresce la consapevolezza della necessità di un approccio di lungo periodo nella gestione della sicurezza: nel 50% delle imprese è in corso un piano di investimenti pluriennale, anche se oltre il 20% dichiara di stanziare un budget in sicurezza solo in caso di necessità. Si definiscono i ruoli nelle organizzazioni: il 39% delle imprese sta inserendo in organico nuovi profili che si occupano di security e il 49% di privacy. Aumentano responsabilità e competenze richieste al Chief Information Security Officer e si definiscono figure emergenti come il Security Administrator, il Security Architect, il Security Engineer e il Security Analyst. Il 28% delle imprese ha già in organico o collabora con un Data Protection Officer con il compito di facilitare il rispetto del GDPR.
“Nonostante le minacce aumentino, l’evoluzione del mercato restituisce un quadro tutto sommato ottimistico — Gabriele Faggioli, Responsabile scientifico dell’Osservatorio Information Security & Privacy del Politecnico di Milano —: nelle aziende italiane cresce la consapevolezza dell’importanza della gestione della sicurezza e della privacy, mentre aumentano i budget stanziati. La figura del Chief Information Security Officer sta acquisendo maggior rilevanza rispetto al passato e si assiste a una progressiva strutturazione delle funzioni preposte alla gestione della sicurezza. Il tema della sicurezza e della data protection è diventato ormai prioritario, anche grazie all’attenzione mediatica, e la gestione del rischio cyber inizia ad entrare nelle strategie aziendali. Aumentano le sfide, ma sta mutando anche l’approccio delle organizzazioni con soluzioni sempre più sofisticate”.
Trasformare questa crescente cultura del rischio informatico in un’azione di investimento economico è la vera sfida di oggi.
PCA Broker partecipa attivamente alle ricerche e al dibattito sul cyber-rischio per offrire soluzioni assicurative personalizzate ed efficaci ai propri Clienti.