La fotografia che emerge dal rapporto Nis Investments di Enisa di dicembre sugli investimenti cyber security è desolante e mostra quanto in Europa (e in Italia, di conseguenza) siamo in ritardo in materia investimenti per la protezione delle infrastrutture critiche nazionali.
In realtà esiste un gap significativo degli investimenti che emerge dal confronto dei budget delle organizzazioni dell’UE con quelle degli Stati Uniti d’America.
Il rapporto si riferisce a stime 2020 in base a un sondaggio a organizzazioni Oes (Operatori di servizi essenziali) come identificati dalla direttiva Nis.
Indice degli argomenti
I dati del report
I dati mostrano che le organizzazioni dell’UE assegnano in media il 41% in meno alla sicurezza delle informazioni rispetto alle loro controparti americane. Dato che si acuisce quando si analizzano i dati di dettaglio delle spese di alcuni Paesi europei rispetto agli Stati Uniti.
In particolare le organizzazione italiane spendono il 50% in meno; 62% in meno per l’Olanda e fanalino di coda il Belgio con meno 80%.
Dato allarmante se consideriamo che in un mercato globalizzato le aziende francesi e tedesche investono molto in più delle organizzazioni del nostro Paese e per questo sono a mio giudizio considerate partner più affidabili in una economia globale. È chiaro che questi dati palesano l’assenza di investimenti strategici da parte dei governi che si sono succeduti negli scorsi anni, probabilemente a cause della scarsa sensiblità sul tema e per l’assenza nei contesti governativi di esperti del settore che possano far comprendere i reali vantaggi nel incentivare lo sviluppo tecnologico e la sicurezza. Il caso dell’ European Cybersecurity Competence Centre è la riprova del fatto che si sia arrivati completamente impreparati ad un appuntamento strategico.
Secondo il rapporto Clusit, nel 2019 l’Italia ha investito 1,3 miliardi di euro in sicurezza informatica.
La mancanza di consapevolezza
Va aggiunto che i nostri governi non comprendono a pieno il fatto che proprio attraverso la sicurezza cybernetica si gioco una importante partita in cui la posta in palio è la sovranità nazionale. Riuscire a difendere le nostre infrastrutture critiche, il patrimonio informativo delle nostre imprese, significa fornire al Paese gli strumenti per favorire lo sviluppo in un contesto in cui il livello di penetrazione tecnologico è un costante crescita.
La spesa per settori
I tre settori con la più alta spesa per la sicurezza delle informazioni sono il bancario, il finanziario ed il comparto farmaceutico, settori che presentano un rapporto superiore al 5%. Trasporti, istruzione e vendita al dettaglio sono in cui gli investimenti in sicurezza sono più bassi, tutti inferiori al 2,5%, e le conseguenze sono evidenti a giudicare dal numero di attacchi e dai danni da essi causati.
L’importanza della formazione e lo skill gap
Altro problema che emerge dal rapporto è la penuria di risorse formate in materia sicurezza, un divario tra domanda ed offerta che continua ad assumere contorni preoccupanti e per arginare il quale occorrono investimenti strutturali nei piani formativi nazionali. La quasi totalità delle organizzazioni si confronta con problemi reali nei processi di assunzione di risorse con le competenze ed esperienze necessarie. La figura seguente mostra che la principale area di spesa per la sicurezza informatica è il personale (37%), seguito da software (27%) e hardware (21%).