<Le scelte organizzative, all’interno di un’azienda, in ambito di information security stanno diventando sempre di maggior importanza in termini di investimenti. Trend dell’innovazione digitale, quindi, come il Cloud o l’Artificial Intelligence (AI), sono sempre più diffusi nel tessuto imprenditoriale mondiale, con la conseguente necessità di implementare strategie di sicurezza informatica, che non sono più percepiti come freni inibitori verso nuove tecnologie e servizi, ma come fattore critico di successo nei confronti di minacce sempre più eterogenee, in grado di colpire non solo i sistemi informatici, ma anche persone ed infrastrutture fisiche. Ecco, quindi, che logiche di security-by-design (ovvero il tenere presente delle logiche di security in fase di progettazione) e di procedure e strumenti di difesa real-time, diventano asset non più trascurabili. Basti pensare che, secondo l’ultima rilevazione del Clusit (Associazione Italiana per la Sicurezza Informatica) dello scorso ottobre 2019, vi è stato un incremento di minacce ibride, sia informatiche che fisiche, multi target, oltre che di ingenti data breach (violazioni di dati personali), ransomware (un tipo di virus informatico che limita l'accesso del dispositivo che infetta, richiedendo un riscatto da pagare per rimuovere la limitazione) che mirano sempre più a colpire servizi essenziali come scuole ed ospedali.
Purtroppo, anche il mondo delle mobile app non è rimasto immune a software spayware in grado di infiltrarsi nei sistemi operativi e raccogliere le infrazioni li presenti, senza che il proprietario se ne renda conto; parallelamente al mondo dei dispositivi intelligenti connessi alla rete – home assistant in testa – che determinano esponenzialmente la superficie di attacco informatico. Di fronte a questo scenario, le aziende, secondo il rapporto dell'Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano di febbraio 2020, hanno maggiore consapevolezza dei rischi, con il mercato dell’information security che in Italia, nel 2019, raggiunge un valore di 1,317 miliardi di euro, in crescita di poco meno dell’11% rispetto al 2018; ed un 40% del campione interessato alla ricerca di nuovi profili lavorativi, come Security Analyst, Security Architect e Security Engineer, da inserire al più presto in azienda.
Retail e Gdo non fanno eccezione a questi scenari, come dimostrano i dati presi in esame dall’Osservatorio, per cui rientrano nel 12% del campione di grandi imprese analizzato. Il retail, infatti, focalizzando sempre più i suoi sforzi nella sperimentazione di tecnologie di frontiera, come l’Internet of Things, i sistemi di Business Intelligence Analytics, la Realtà Aumentata e Virtuale, il Machine Learning e l’Intelligenza Artificiale, è bersaglio di attacchi, che si ripresentano regolarmente specie nei momenti di boom di acquisti legati alle vacanze natalizie o ad eventi speciali come Black Friday e festività particolari. Rispetto ad altri settori, il retail mantiene le sue maggiori criticità nell'ambito della sicurezza dei pagamenti. Riprogettare gli ambienti di pagamento, rendendoli più sicuri e rispondenti anche alla normativa (è il caso, per esempio, della PSD2 - Payment Service Directive 2 emanata dall'UE), consentirà di aumentare la protezione dei consumatori quando pagano online, ma non solo. Si tratta anche di promuovere lo sviluppo dei pagamenti in mobilità attraverso l’open banking (un sistema di comunicazioni bancarie aperte tra diversi soggetti), o di altre modalità smart, che infondano fiducia e che siano sempre più "tailor-made" e personalizzate per i consumatori.
Un ulteriore trend proprio del retail, ma anche cross-settoriale e proprio di altri campi, è quello di una scarsa la maturità organizzativa con il 40% delle aziende campione prive di una divisione di Information Security, la cui gestione della sicurezza è ancora affidata al CIO e all’IT. A tal proposito, Alessandro Piva, Direttore dell’Osservatorio Information Security & Privacy, afferma che “questo genera incertezza e oltre un’impresa su due è insoddisfatta di come viene gestita. Emerge la necessità di adottare un modello integrato di governance della security che permetta di definire modalità di intervento uniformi e monitorare in maniera completa e affidabile le potenziali minacce”. Questo modello integrato di governante fa riferimento a tutta la filiera produttiva, e non solo ad uniche aziende, che possono essere contagiate, se uno degli anelli deboli della filiera venisse colpito. È questo il caso degli ambienti OT (Operational Technologies), dove l’interconnessione di sistemi industriali e la sempre maggiore diffusione di dispositivi IoT pongono il problema della loro protezione, nella maggioranza dei casi demandata unicamente, come già ricordato, alla funzione IT (47%).
In questo contesto di sostanziale ritardo rispetto alle grandi imprese, anche le PMI mostrano segnali di miglioramento, in parte agevolate dall’introduzione obbligatoria del GDPR, adottando iniziative di formazione del personale ed introducendo figure di presidio sulle tematiche di sicurezza. Infatti, il 55% delle imprese ha completato i progetti di adeguamento al GDPR (+31% sul 2018) e con l’aumento delle imprese conformi crescono gli investimenti: il 45% ha aumentato il budget dedicato, nel 53% delle realtà è rimasto invariato, solo il 2% lo ha ridotto.
Altre spinte normative europee, come la Direttiva Nis (Network and Information Security), recepita in Italia il 24 Giugno 2018, e il più recente Cybersecurity Act, entrato in vigore il 27 giugno 2019 con l’obiettivo di creare un quadro europeo sulla certificazione della sicurezza informatica di prodotti ICT e servizi digitali, hanno prodotto e produrranno effetti postivi anche nei prossimi anni. Si aprono, quindi, grandi possibilità di miglioramento per le aziende che con più consapevolezza dei rischi e risorse economiche dedicate, stanno affrontando il problema in maniera costruttiva. Si inserisce in questo contesto anche un’opportunità per il mondo assicurativo, aprendo al rischio cyber. In Italia, tuttavia, il mercato della cyber insurance in Italia è ancora in fase di sviluppo, ma crescono le aziende che stanno valutando polizze assicurative. Circa un terzo del campione ha attivato coperture assicurative di trasferimento del rischio cyber, suddivise fra imprese che hanno scelto polizze completamente dedicate al cyber risk (19%) e altre che hanno preferito assicurazioni generaliste che coprono in parte questo rischio (11%).
