Più volte abbiamo constatato l’aumento del rischio derivante dalla digitalizzazione. Se da un lato abbiamo un’efficientamento diffuso dall’altro dobbiamo tutelarci in termini di sicurezza e riservatezza. Sempre più informazioni vengono sintetizzate in bit, una miriade di dati sensibili, personali, aziendali, pubblici, privati, scorrono nei percorsi digitali della rete. In questo mare, se non vi è il giusto controllo e se non si adottano le giuste contromisure per tutelarsi, i “pirati del web” non avranno pietà di noi. I “cyber attacchi”, si sa, sono in costante aumento, sono direttamente proporzionali all’espansione del digitale e del valore (economico e non solo) che commutiamo in esso.
La cybersecurity perciò è diventata una priorità per tutti, uno dei topic principali del dibattito sull’agenda digitale, fra le priorità del governo, delle PA, delle aziende di tutto il mondo. Viene da chiedersi, però, quanto concretamente viene messo a voce di costo per la spesa in cybersicurezza. I budget che vengono allocati in sicurezza IT dalle grandi organizzazioni sono all’altezza delle possibili perdite finanziarie che possono derivare da un attacco cyber? Per darci una risposta ci viene in aiuto uno studio della Kaspersky Lab in partnership con B2B international che fa una panoramica sulla situazione a livello mondiale, sotto analisi 4000 aziende distribuite in 25 paesi, nella quale sono stati analizzati budget per la sicurezza IT, comportamenti nei confronti delle minacce alla sicurezza, soluzioni e costi delle violazioni.
Vediamo, dunque, un po’ di numeri: il 70% delle aziende europee prevede di incrementare la spesa in cybersecurity nei prossimi 3 anni, buona parte di queste intende aumentare la cifra tra il 10% e il 29%, la media mondiale è del 35%.
Fra i fattori chiave che scaturiscono l’aumento di investimenti in sicurezza fra le aziende europee vi è la complessità delle infrastrutture IT (il 35%), motivo a seguire è l’espansione di nuove attività e società (32%).
Sostanzialmente succede che le aziende comprendano la necessità di aumentare il budget, anche se il 39% delle aziende in Europa ha difficoltà a garantire la spesa richiesta per proteggere l’azienda dalle minacce di sicurezza (il 47% delle aziende a livello mondiale). Quando si parla di cybersicurezza il 41% afferma che sia difficile dimostrate il ROI di tali investimenti.
Fra gli intenti esplicitati vi è quello di incrementare gli investimenti, il 56% delle aziende in Europa e nel mondo ritengono che prevenire sia meglio che curare.
La spesa per la sicurezza IT, in realtà, costituisce una parte esigua del budget IT totale. Anche se i propositi ci sono, i fatti dimostrano che la maggior parte delle aziende afferma di spendere meno del 20% del proprio budget IT in sicurezza. Il 13% delle aziende europee spende meno di 2500 dollari l’anno sulle forniture di IT totali (rispetto all’8% delle aziende a livello mondiale).
Il 64% delle aziende europee sostiene che aumenterà il numero degli specialisti impiegati nella sicurezza IT nei prossimi 3 anni. Percentuale questa che è leggermetne al di sotto di quella mondiale (68%), la metà delle aziende europee prevede, rispetto al 54% a livello mondiale, che la proporzione degli investimenti spesi per assumere e pagare gli specialisti di sicurezza IT interni debba aumentare.
Per quanto riguarda le conseguenze finanziarie e l’impatto sulla reputazione il 47% delle aziende europee (il 52% su scala globale) è consapevole che la propria sicurezza cyber verrà prima o poi compromessa, la ricerca ha evidenziato che negli ulti 12 mesi il 32% delle imprese europee (il 38% a livello mondiale) è stato infettato da virus e malware con conseguente perdita della produttività, il 30% palesa un uso inappropriato delle risorse IT da parte dei dipendenti rispetto al 36% nel mondo.
L’84% delle aziende europee ha subito tra 1 e 5 incidenti distinti caratterizzati da perdita/fuga di dati o l’esposizione negli ultimi 12 mesi (82% in tutto il mondo).
Di conseguenza a tutto ciò, il 10% delle aziende europee ha perso l’accesso alle informazioni aziendali critiche per una settimana (in confronto a 1 azienda su 10 a livello mondiale), con il 15% a cui viene impedito di operare per più di 7 giorni. Il 10% delle aziende in Europa scopre almeno un anno dopo di aver subito una violazione. Vi è dunque mancanza di consapevolezza e preparazione.
Per le PMI a livello mondiale il peso finanziario medio di un attacco si stima ammonti a 86500 dollari fino a raggiungere 861000 dollari per le grandi aziende.
Dalla ricerca, emerge inoltre che i budget sono piuttosto limitati, laddove la spesa media annuale in sicurezza informatica rapportata alle perdite stimate per un solo attacco concede poco spazio di manovra. Se le spese per le PMI ammontano a 213000 dollari significa che si possono coprire fino a 2,5 attacchi per proteggere i propri capitali significativi senza considerare i danni derivanti per la reputazione.
Le aziende europee riconoscono la necessità di aumentare la sicurezza IT in considerazione degli attacchi sempre più diffusi provenienti dalla rete, il 26% dei partecipanti alla ricerca prevede l’incremento dell’IT interno e dello staff di sicurezza IT e il 36% considera un software di sicurezza IT più sofisticato come ancora di salvezza, anche se i budget non sembrano in grado di garantire questa idea di spesa.
Un approccio olistico alla sicurezza IT potrebbe essere uno snodo cruciale anziché basarsi solo sulla dotazione tecnologica. Aspetti chiave ulteriori per arginare il rischio ed ottenere un ritorno concreto sugli investimenti sono formazione ed intelligence.
