Il 23% delle imprese italiane si è adeguata al Gdpr, la nuova normativa Ue sulla privacy in vigore da fine maggio 2018, il 59% ha progetti in corso, l’88% ha un budget dedicato. A scattare la fotografia è una ricerca dell’Information Security & Privacy della School of Management del Politecnico di Milano.
Il tema della sicurezza è sempre stato importante nel mondo aziendale, ma negli ultimi anni è diventato fondamentale per garantire il buon funzionamento dell’azienda. I recenti cambi normativi e i recenti avvenimenti hanno inoltre reso il tema della privacy altrettanto importante, come testimoniato dall’arrivo della GDPR lo scorso anno. La situazione italiana su questi due fronti è in evoluzione e ha alti e bassi.
L’aspetto positivo evidenziato dalla ricerca è il fatto che il 67% prevede di rendere strutturali gli investimenti per la privacy e la sicurezza, ad esempio per avere degli audit periodici, revisionare il registro dei trattamenti e aggiornare procedure e tecnologie legate alla sicurezza dei dati.
Le aziende italiane danno comunque segnale di credere nella necessità di investire nella sicurezza e nella privacy: rispetto al 2018, gli investimenti sono aumentati del 9%. Ciò segnala il fatto che le aziende italiane diano sempre maggiore importanza a questo ambito, investendo anche nelle figure dedicate a questi ambiti all’interno della gerarchia aziendale.
Secondo l’analisi, le principali finalità dei cyber attacchi subiti dalle imprese sono truffe come il phishing (83%) e le estorsioni (78%), poi intrusione a scopo di spionaggio (46%) e interruzione di servizio (36%). Ma nei prossimi tre anni le aziende temono soprattutto spionaggio (55%), truffe (51%), influenza e manipolazione dell’opinione pubblica (49%), acquisizione del controllo di sistemi come impianti di produzione (40%).
I principali obiettivi degli attacchi sono oggi gli account email (91%) e social (68%), seguiti dai portali eCommerce (57%) e dai siti web (52%). Nel prossimo triennio, dice la ricerca, le imprese prevedono che gli hacker si concentreranno su dispositivi mobili (57%), infrastrutture critiche come reti elettriche, idriche e di telecomunicazioni (49%), la casa smart (49%) e i veicoli connessi (48%).
La principale vulnerabilità è costituita dal comportamento umano: per l’82% delle imprese la prima criticità è la distrazione e scarsa consapevolezza dei dipendenti, seguita da sistemi IT obsoleti o eterogenei (41%) e da aggiornamenti e patch non effettuati regolarmente (39%).
Per minimizzare il rischio, l’80% delle imprese ha avviato piani di formazione del personale. L’analisi delinea infine un boom della figura del Data Protection Officer, presente nel 71% delle imprese, mentre il 59% ha inserito un Chief Information Security Officer.