A cura di Elena Vaciago, Associate Research Manager, The Innovation Group
Budget per la Cybersecurity in crescita, gli approcci diventano più maturi
I budget per la cybersecurity di istituzioni pubbliche e private sono continuamente in crescita in tutto il mondo. A livello internazionale il mercato globale della cybersecurity è stimato valere tra i 70 e gli 80 miliardi di dollari nel 2015, con previsioni di crescita intorno all’11% per il 2016. Nel periodo 2016-2021, il mercato potrebbe raddoppiare il tasso di crescita, arrivando a un CAGR 16-21 intorno al 17%. Si tratta di un tasso di crescita molto superiore a quello del mercato ICT nel suo complesso, che a livello globale cresce non più di un 4% all’anno.
In Italia il mercato dei prodotti e dei servizi di IT security vale secondo le nostre stime 1.387 milioni di euro nel 2015, con una previsione di crescita del 4,6% nel 2016, per arrivare quindi a un valore di 1.451 milioni di euro. La componente del mercato che però registra i tassi di incremento superiori (fino al 30%) è quella della sicurezza rivolta alla messa in sicurezza di ambienti ICT per la Digital Transformation (dal Mobile, al Cloud Computing, all’IoT), mercati digitali che in questo momento mostrano i trend di crescita più rilevanti.
Nelle aziende italiane gli aspetti di Cybersecurity stanno progressivamente prendendo piede, con investimenti che per alcune aziende hanno valori pari all’1 e al 2% del totale del budget ICT, ma per altre sono già cresciuti al 3 e al 5%, con punte anche intorno al 6 e 10% (come rilevato da The Innovation Group e Deloitte nel 2015 tramite la Cyber Risk Management survey su un campione di aziende italiane). Per avere un’idea di quanto è cresciuta nell’ultimo anno la domanda di cybersecurity da parte delle aziende, basti osservare i seguenti fatti:
- JPMorgan Chase ha raddoppiato nel 2016 l’investimento annuale in cybersecurity, da 250 milioni di dollari a 500 milioni di dollari.
- Il Governo USA prevede una crescita del suo budget di cybersecurity del 35%, da 14 miliardi di dollari nel 2016 a 19 miliardi di dollari nel 2017.
- Il Governo del Regno Unito ha dichiarato a inizio novembre che dedicherà 1,9 miliardi di sterline al prossimo piano quinquennale (National Cyber Security Strategy 2016-2021), oltre al doppio rispetto al piano 2011-2016 che prevedeva invece investimenti per 800 milioni di sterline. Il piano prevede numerose azioni, sia sul fronte delle misure difensive che saranno rafforzate (Automated Defence) sia sul fronte delle contromisure deterrenti (law enforcement, collaborazioni internazionali e intelligence) sia anche per nuovi sviluppi in ambito R&D.
Il motivo per cui questo mercato sta registrando una crescita così elevata va ricercato nello stretto legame tra la sicurezza e gli altri investimenti ICT: di fatto la sicurezza deve essere pervasiva, deve riguardare ogni singolo aspetto della dotazione di applicazioni, infrastrutture, dati di cui è costituita l’infrastruttura digitale su cui gira il business delle aziende. Oggi per una serie di fattori (il principale da considerare è l’eredità con cui dobbiamo confrontarci, il fatto che in passato non sia mai stato adottato un approccio di security-by-design nell’implementazione di soluzioni HW e SW) le aziende sono
- Attente a un miglioramento costante della propria Security Posture.
- Consapevoli di doversi dotare di fondamenta solide, tramite il set up di processi e policy, awareness delle persone, integrità, disponibilità e confidenzialità dei dati critici.
- Più attente rispetto al passato sul fronte del security-by-design, nel momento in cui si sviluppano nuove soluzioni Mobile, Cloud, IoT, verificando fin dall’inizio la disponibilità di un layer di sicurezza che riguardi tutti gli aspetti (dalla connettività sicura, agli accessi sicuri, alla protezione dei dati e delle informazioni critiche per il business).
Le principali motivazioni alla base dei maggiori investimenti in Cybersecurity sono:
- Incremento del cyber crime. Gli hacker sono oggi motivati da guadagni economici (prima di tutto) e poi da notorietà o intenti malevoli: riescono ad essere molto più veloci, capaci ed esperti rispetto a chi, sul fronte difensivo, è invece costretto a rispettare leggi e regole di comportamento. Anche il law enforcement è molto limitato per quanto riguarda il cyber crime. La maggiore attività degli hacker e la maggiore efficacia delle azioni criminose comporta necessariamente l’obbligo per tutti di migliorare la propria capacità difensiva. Come commentiamo in seguito, il costo del cyber crime (comprensivo di tutti gli aspetti, dalla perdita di produttività alle perdite di reputazione, finanziarie, di informazioni personali e di business, di clienti, ai costi di ripristino, costi per investigazioni, legali e di notifica ai clienti, costi per mettere in sicurezza i sistemi) è sempre più elevato: si stima passerà dagli attuali 400 miliardi di dollari a livello globale, a oltre 2.000 miliardi di dollari nel 2019.
- Evoluzione del perimetro, con l’inclusione di notevoli nuove aree di vulnerabilità, device Mobile come smartphone e tablet, Internet of things (IoT), big data, cloud computing, ricorso sempre più diffuso a piattaforme web: tutto quello che è alla base dei moderni processi di Digital Transformation.
- Nuove norme che chiedono una maggiore protezione dei dati e una maggiore resilienza dei sistemi, approvate di recente (es. EU GDPR, EU NIS Directive) che porteranno obbligatoriamente a una revisione interna delle attività e delle misure per la sicurezza. Del resto, il tema della compliance è sempre stato un importante driver di investimento in Cybersecurity: era al secondo posto tra le motivazioni che portano a questa spesa secondo la Ricerca SANS “IT Security Spending Trends” di inizio 2016, al quarto posto nell’indagine svolta da Deloitte e The Innovation Group su un campione di aziende italiane (Cyber Risk Management Italia v.1.0 Report).
- Difficoltà a trovare personale con skill adeguati per gli aspetti di cybersecurity: solo negli USA si stima che manchino 209.000 persone con queste competenze[1], e si prevede che la domanda di persone con questi skill crescerà del 53% entro il 2018. Questa difficoltà spinge le aziende a rivolgersi a fornitori esterni anche per aspetti operativi (Managed security services).
- Mancanza di cultura nelle aziende, scarsa preparazione degli utenti finali che rappresentano oggi il principale anello debole. Le aziende devono fortemente impegnarsi in attività di security awareness se vogliono evitare che tutti gli altri sforzi siano vanificati da comportamenti non corretti delle persone.
[1] Peninsula Press (a project of the Stanford University Journalism Program) analysis of numbers from the Bureau of Labor Statistics
Ricevi gli articoli degli analisti di The Innovation Group e resta aggiornato sui temi del mercato digitale in Italia!