L'incertezza macroeconomica ha avuto impatti negativi su tutti i budget aziendali e l'IT non è stata certamente risparmiata. Poteva andare peggio, però, e in particolare i budget per la cybersecurity hanno sì sofferto, ma i CISO non hanno dovuto subire i tagli di investimenti e personale che hanno vissuto invece altri ambiti.

Difendersi digitalmente, insomma, di questi tempi è troppo importante per le imprese. Lo conferma anche una analisi a campione di IANS Research, che ha intervistato 550 CISO statunitensi e canadesi riguardo l'andamento dei loro budget. I risultati dell'indagine sono quindi legati al mondo nordamericano, ma sono in parte applicabili anche da noi.

Il primo macro-risultato che IANS sottolinea è come la percentuale dei CISO che hanno visto nel 2023 un aumento del proprio budget sia da classico bicchiere mezzo pieno o mezzo vuoto a seconda dei punti di vista: 63 percento. Quindi più della metà ma non tantissimo di più. Se siete ottimisti, di questi tempi è un dato comunque positivo. Se non lo siete, sembra una cifra bassa per l'importanza che riveste la cybersecurity.

Qualcosa di più si capisce esaminando le risposte dei CISO a una domanda specifica: quale motivo principale ha portato la loro azienda ad aumentare il budget cybersecurity? Dalle risposte si nota che le aziende che hanno considerato la sicurezza IT come "business as usual" hanno investito relativamente poco di più rispetto all'anno scorso. Chi invece ha avuto brutte esperienze o vede la sicurezza in una logica di gestione del rischio, è più propenso a spendere.

La fetta maggiore del campione - il 20% - è fatta di imprese per le quali l'aumento del budget di cybersecurity deriva da un semplice aggiustamento di routine di tutti i budget aziendali. In questi casi la cifra allocata per la sicurezza IT è aumentata solo del 7%.

Il secondo gruppo più cospicuo di imprese - il 17% - ha aumentato il budget per la sicurezza perché ritiene di correre più rischi di cybersecurity rispetto al passato. Questa posizione "preventiva" ha portato mediamente a un aumento del budget dell'11%.

Il terzo gruppo più numeroso di imprese - il 15% - viene giudicato da IANS particolarmente interessante: ha aumentato il budget cybersecurity in maniera sensibile (+19%) senza che ci fosse un motivo effettivamente legato alla sicurezza. Lo ha fatto solo perché è aumentato il suo tasso di digitalizzazione. Per queste aziende, in sintesi, la cybersecurity è parte integrante della Digital Transformation.

È interessante anche notare che aver subito una breccia o un problema di cybersecurity non è la ragione che spinge ad aumentare più di altre gli investimenti in sicurezza. Le aziende che hanno segnalato una propria "disavventura" come motivo per un aumento del budget non sono molte (il 2% del campione) e per loro la spesa è aumentata del 18%.

Hanno più effetto le valutazioni di scenario: l'aumento più significativo nei budget cybersecurity (+27%) è stato infatti segnalato dall'8% CISO, le cui aziende operano in settori in cui ci sono state molte violazioni di sicurezza e queste sono state ampiamente pubblicizzate o hanno avuto conseguenze importanti. Il settore che si considera più a rischio, da questo punto di vista, è la Sanità.

Ci sono anche aziende più proattive, che cioè adeguano la spesa in cybersecurity al profilo di rischio delle loro attività. Sono un gruppo non molto numeroso (l'8% del campione) ma che ha aumentato i budget significativamente: del 22%. In questi casi le imprese sanno che i loro obiettivi strategici eleveranno il livello e il tipo di rischio che si dovranno assumere, e si proteggono di conseguenza. Anche per l'IT.