Un recentissimo studio dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano evidenzia che nel 2021 il mercato della cyber security, in Italia, ha raggiunto il valore di 1,55 miliardi di euro, segnando un interessante +13% di crescita. Come valutare questo dato, specie in un contesto così globale e competitivo? Ho deciso di intervistare Marco Comastri, AD di Tinexta Cyber, per analizzare il quadro sulla situazione presente e tracciare quello del prossimo futuro.
Indice degli argomenti
Investire nella cyber security
Dai dati dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano presentati il 16 febbraio emerge che la sicurezza informatica è al primo posto per le priorità di investimento sia per le grandi imprese che, per la prima volta, per le PMI. Dal vostro punto di osservazione, avete evidenza di questo aumento di attenzione sul tema? C’è effettivamente consapevolezza nei manager e nei decisori?
Quello che vediamo sul mercato della cyber security è sicuramente una crescita dell’interesse delle PMI verso questo tipo di offerta. Evidentemente sta maturando una maggiore consapevolezza in questo segmento del mercato sui rischi e sulla esigenza di sostenere la digital transformation in atto in modo sicuro. Questo segmento sconta ancora un gap più importante rispetto le Large Enterprise nella gestione del rischio cyber, per questo ci aspettiamo un trend di crescita di questo segmento del mercato nei prossimi anni.
Bisogna considerare oltre al segmento PMI anche il segmento SOHO e professionisti che, se pure con esigenze diverse, oggi necessita di un maggiore livello di protezione dal rischio cyber. Anche questo segmento composto da realtà di dimensioni minori, tuttavia, gestisce informazioni sensibili ed è esposto al rischio cyber al pari delle grandi imprese. Gli attacchi cyber avvengono spesso in modo randomico e gestiti da bot che sfruttano vulnerabilità senza una distinzione dalla dimensione del soggetto attaccato.
Chiaramente questa domanda di servizi/soluzioni di cyber security per la PMI e per i professionisti ha caratteristiche specifiche che vanno verso una maggiore standardizzazione e pacchettizzazione dei servizi, rispetto alle soluzioni verticali custom con forti componenti di integrazione richieste dalle large company.
Rispetto ai dati 2021, come Polo Tinexta Cyber (Corvallis, Yoroi, Swascan) abbiamo registrato ancora un volume di fatturato maggiore sul segmento Large Enterprise, ma siamo convinti che il segmento PMI sia destinato a crescere in futuro.
Il mercato italiano della cyber security
Sempre dalla ricerca del Politecnico si evince che il mercato italiano della cyber security è aumentato del 13% in un anno arrivando a 1,5 miliardi di euro. Tuttavia, le sole Google e Microsoft hanno annunciato in cinque anni un piano di investimenti di 30 miliardi di dollari complessivi. Come valutate questi dati?
Il fatto che le global company dell’IT stiano realizzando investimenti di tale portata significa che credono nella crescita del mercato e, se il mercato più generale IT cresce, questo comporta un ampliamento del perimetro cyber e di conseguenza del mercato della cyber security. Per questo leggo questo dato come un buon segnale che conferma le nostre aspettative di crescita sulla cyber security.
Inoltre, se confrontiamo il dato sulla crescita del mercato italiano della cyber security del 13% con quello degli altri paesi europei, vediamo come questa percentuale di crescita è superiore a quella di tutti i paesi, dove nessuno supera il 10% e dove la media è dell’8%. Questo significa che l’Italia magari si è mossa in ritardo, ma sta recuperando il gap in questo settore.
L’approccio alla spesa nella cyber security
Guardando lo spaccato della spesa in cyber security, secondo voi le risorse che hanno le aziende italiane, tante o poche che siano, sono investite in modo corretto?
Allora, su questo punto effettivamente il mercato deve ancora maturare, troppo spesso si ha ancora un approccio technology driven alla cyber security. Questo emerge chiaramente anche dai vostri dati.
Si ritiene che possa bastare l’adozione di una determinata tecnologia o software per mitigare il rischio cyber. È necessario invece adottare una strategia di difesa che consideri il perimetro del rischio cyber della propria organizzazione, della propria supply chain. Il rischio spesso viene introdotto dai partner/fornitori con i quali interagisco. Inoltre, non adotto soluzioni di cyber security in modo flat su tutta l’organizzazione e le infrastrutture, ma lo devo fare in modo mirato mappando il rischio e l’impatto in base alle aree/processi di business. Solo così, posso definire una strategia difesa cyber efficace e che ottimizzi l’impiego di risorse economiche.
Per fare questo servono servizi più evoluti di advisory nella cyber security, di analisi, di threath intelligence che poggiano su infrastrutture evolute di difesa preventiva che chiamiamo Defence Center piuttosto che i già noti SOC (Security Operation Center) caratterizzati da un approccio più reattivo alla difesa cyber.
Cyber security e Pubblica Amministrazione
A vostro avviso l’attenzione sul tema da parte delle pubbliche amministrazioni è adeguata? È confrontabile con il mondo privato?
Anche in questo caso assistiamo a una sempre maggiore consapevolezza dell’importanza di difendere lo spazio cyber della pubblica amministrazione e in generale del Paese. Abbiamo visto esempi recenti di attacchi che hanno bloccato infrastrutture critiche della pubblica amministrazione e messo in seria difficoltà l’erogazione di servizi essenziali per i cittadini. Il rischio è elevato, e alcuni processi/servizi della PA sono delicatissimi dal punto di vista dell’informazione gestita.
Per questo anche nella PA sta aumentando considerevolmente il livello di consapevolezza e conseguentemente il ricorso a soluzioni per mitigare il rischio nella trasformazione verso l’e-government, che la pubblica amministrazione sta vivendo.
Anzi, in questo caso, per la pubblica amministrazione stanno diventano cruciali servizi ancor più di tipo strategico legati al rischio cyber. Si pensi all’importanza di temi quali l’attribution di un attacco cyber. In questo caso emergono esigenze che rispondono a ragioni anche di tipo diplomatico e geopolitico.
Cloud nazionale
Si arriverà al cloud nazionale per la PA. È una soluzione? Ritenete che sia da estendere come strada anche ai privati?
Credo che gli investimenti su infrastrutture di questo tipo siano enormi, e che difficilmente un singolo stato possa affrontare il tema individualmente. Citavamo all’inizio gli enormi investimenti dei big player del mondo IT, ecco, una delle voci più importanti di investimento sta proprio nei servizi e nelle infrastrutture cloud. Questo è il tipico tema dove l’imponenza degli investimenti richiesti e l’esigenza di una digital sovereignty obbligano a un approccio sovranazionale a livello europeo. Quantomeno nella definizione di standard, governance e interoperabilità.
Chiaramente su questa infrastruttura dovranno poi essere sviluppati i servizi da erogare, e qui vedo bene un’apertura ai privati che possono creare servizi a valore intorno a questo asset del Paese.
Questo è lo schema che si è già visto in altri contesti, le infrastrutture abilitanti devono essere realizzate con investimenti nazionali o a livello europeo, il legislatore poi dovrà garantire le condizioni per far sviluppare un mercato regolato dove i privati potranno portare innovazione e investimenti in modo efficiente per creare servizi a valore. In questo ambito la sicurezza gioca un ruolo fondamentale. Noi come polo italiano della sicurezza cyber siamo pronti a giocare il nostro ruolo in collaborazione con gli organismi a regolazione del mercato.
Il futuro del mercato della cyber security
Secondo lei nel prossimo futuro le aziende che offrono prodotti e servizi, anche consulenziali, di cyber security tenderanno ad aggregarsi o rimarranno molto polverizzate? Quale strada sarebbe preferibile nell’interesse del paese?
Credo che, seppure il mercato sia in crescita, si andrà verso una maggiore razionalizzazione del mercato lato offerta. Intendo che si vedrà un processo di consolidamento di soggetti che si sono affacciati al mercato della cyber sicurezza.
Questo è un trend che sta già oggi portando verso l’aggregazione di player minori in realtà più grandi in grado di competere a livello nazionale ed internazionale. Che abbiano capacità di investimento, di innovazione e di attrazione e sviluppo di skill altamente specialistiche.
D’altronde questo è un processo inevitabile per poter competere su un mercato che per la sua dimensione e attese di crescita vede l’ingresso di competitor nuovi anche internazionali. Il numero di operazione di M&A annunciate nel mercato della cyber security sottolinea un trend in atto. D’altronde anche il Polo Tinexta Cyber nasce con questa strategia, aggregando con una operazione M&A di rilievo nazionale player già affermati nel mercato della cybersicurezza, e della System Integration (Yoroi, Swascan, Corvallis), istituendo di fatto un champion nazionale della cyber security in grato di competere a livello nazionale oggi e a livello internazionale nel breve periodo.
