La Cybersecurity sta diventando centrale non solo per i responsabili ICT e i Chief Security Officer, ma anche per le agende dei CEO e dei consigli di amministrazione. La crescente attenzione alla Cybersecurity è legata sia all’aumento delle minacce, da cui è sempre più difficile proteggersi, sia all’evoluzione normativa a livello europeo, con l’entrata in vigore il 25 maggio 2018 del General Data Protection Regulation (GDPR) e il recepimento della direttiva NIS (Network Information Security). Il GDPR uniformerà la legislazione dei paesi membri in materia di protezione dei dati personali.
Cybersecurity: risposta indispensabile ai nuovi fabbisogni di sicurezza.
Il NIS si pone l’obiettivo di rafforzare la capacità di gestione della sicurezza di reti e sistemi a livello europeo e di facilitare la condivisione delle informazioni su rischi e minacce tra paesi membri, con l’obbligo di creare a livello nazionale un’autorità competente per la gestione dei rischi informatici in caso di incidenti che coinvolgano le infrastrutture critiche. A livello italiano, il NIS è stato recepito nel Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica in Italia, predisposto dal Consiglio dei Ministri a marzo 2017. Nel Piano Triennale per l’Informatica nella Pubblica Amministrazione 2017-2019, redatto da AgID nel corso del 2017, si dedica un capitolo specifico alla sicurezza, indicando obiettivi e linee di azione per incrementare il livello di sicurezza delle PA e il livello di condivisione di informazioni e scenari, a partire da un ruolo rafforzato del CERT-PA. Nessuna tipologia di organizzazione è da ritenersi esente da rischi: nel 2017 sono stati violati i sistemi di aziende che operano a livello mondiale ed è cresciuta rapidamente la diffusione di malware (emblematico il caso di WannaCry) in grado di colpire in modo indistinto organizzazioni sia grandi, come compagnie telefoniche, ospedali, industrie, università e Ministeri, che piccole.
Figura 22:Il mercato italiano della Cybersecurity
Valori in milioni di euro e variazioni % - Fonte: NetConsulting cube, 2018
Ad accrescere il profilo di rischio di aziende ed Enti stanno contribuendo tecnologie diventate ormai imprescindibili per l’attività stessa delle organizzazioni. Tra queste sono le tecnologie Mobili, con le app, siano esse a supporto dell’attività del personale interno che destinate ai clienti, viste dalla maggior parte delle organizzazioni come quelle a maggior impatto sui livelli di rischio informatico.
A questo si affiancano la crescente necessità di aprire i servizi aziendali a terze parti, attraverso API, e le tecnologie IoT, che presupponendo scambi di dati e informazioni tra oggetti connessi si presentano come i nuovi vettori di attacchi e ambiti primari di investimento per proteggere un perimetro sempre più esteso di reti, software connessi/sensoristiche. La conferma della centralità della tematica è data anche dai trend del mercato della Cybersecurity, cresciuto a un tasso significativamente superiore a quello del mercato digitale italiano nel suo insieme, pari al 10,8% nel 2017, sfiorando i 900 milioni di euro. Alla progressione hanno contribuito varie componenti, sia quelle che incidono maggiormente sulla spesa, come i Security Managed Services e la Cloud Security (+14,1%), sia ambiti minori in valore assoluto, ma non meno rilevanti, come l’Hardware e il Software (rispettivamente cresciuti del 16,1% e 11,3%, spinti dagli investimenti su Endpoint e Network Security, Application Security e Threat Intelligence) oltre che dalla spesa per consulenza (+16,9%). Significativo, anche se con ritmi di crescita meno sostenuti (+6%) l’apporto degli altri servizi del mercato Cybersecurity, come quelli per Vulnerability Assessment su sistemi tradizionali, apparati Mobile e applicazioni, e il supporto al Security & Risk Assessment.
Le soluzioni di Threat Intelligence - basate prevalentemente su algoritmi di machine learning e artificial intelligence, e trasversali a vari ambiti rappresentano il segmento più dinamico (+18,7% nel 2017 e in ulteriore crescita nei prossimi anni). Come anticipato, a rafforzare il trend di crescita del mercato della Cybersecurity nel 2017 ha contribuito la richiesta di supporto al percorso di adeguamento al GDPR, provenuta da aziende ed Enti soprattutto nella seconda parte dell’anno e che proseguirà nel primo semestre 2018.
L’adeguamento al GDPR, a differenza di altre normative adottate in passato, ha impatto sia a livello organizzativo sia di strumenti e soluzioni IT, e chiede budget rapportati alle dimensioni e alle complessità delle aziende. Tra le misure previste, alcune avranno forte riflesso sulla spesa in Cybersecurity, tra cui quelle per:
- • procedere con la mappatura di tutti i dati trattati, la valutazione e il conseguente adeguamento delle specifiche misure di protezione, inclusi i sistemi di crittografia;
- • consentire all’interessato di esercitare il diritto d’accesso ai dati trattati e il diritto all’oblio, e cioè di interrompere la diffusione e l’elaborazione delle informazioni personali e di ottenerne la cancellazione attraverso la revoca del consenso;
- • garantire all’interessato il diritto alla portabilità dei dati, ovvero di ricevere e trasferire liberamente a un altro titolare i propri dati personali;
- • notificare all’authority e agli interessati eventuali incidenti di Data Breach.
Figura 23: I principali Impatti della GDPR sulle aziende italiane
Fonte: NetConsulting cube, 2018
In molti casi - Enti pubblici e realtà appartenenti al mondo sanitario, che trattano dati su larga scala – l’adeguamento sta determinando anche cambiamenti organizzativi, con la creazione di nuove figure, come il DPO (Data Protection Officer), e in ogni caso la revisione della documentazione e dei processi relativi ai vari attori coinvolti nella gestione dei dati (titolare, responsabile, incaricati), portando alla costruzione del cosiddetto “organigramma della privacy”. In prospettiva, una volta entrato in vigore il Regolamento, si registrerà un incremento delle attività di formazione, non solo limitate al personale ICT, ma a tutte le figure coinvolte nel trattamento della gestione dei dati e delle informazioni. Un altro tema che assumerà rilevanza è quello della Software Quality e della cosiddetta Privacy by Design e by Default, cui lo stesso regolamento fa riferimento per garantire la sicurezza degli applicativi sin dalla fase di creazione e sviluppo.