L’indagine AGID “La Spesa ICT 2021 nella PA Italiana” riporta le stime sull’andamento complessivo della spesa ICT Information Communication Technology della Pubblica Amministrazione Italiana ed evidenzia che la spesa totale in sistemi e servizi per la sicurezza informatica ha superato, tra Amministrazioni Pubbliche Centrali e Locali presenti all’interno del panel di riferimento della ricerca stessa, i 114 milioni di euro nel 2020 con una crescita dell’11% rispetto al 2019. Le risorse destinate a questo ambito sono previste in crescita.
In questo contesto in cui è all'ordine del giorno l'aumento delle minacce sulla sicurezza informatica, la Pubblica Amministrazione ha il compito di ridurre il rischio adeguando le proprie infrastrutture e offrendo servizi a cittadini e imprese non solo efficaci ma anche sicuri.
La rilevazione dell'AGID evidenzia come la Governance delle tematiche di sicurezza informatica sia gestita principalmente attraverso competenze e divisioni interne delle Amministrazioni Pubbliche. Le scelte più diffuse sono:
- la gestione della cybersecurity è in capo a risorse di Information Technology pur in assenza di un ufficio dedicato: una situazione che ricorre principalmente nelle Pubblica Amministrazione Locale;
- la cybersecurity è indirizzata da una specifica 'direzione sicurezza': la presenza di direzioni di questo tipo si rileva prevalentemente delle Pubblica Amministrazione Centrale;
- la cybersecurity è gestita da un ufficio autonomo all’interno della divisione IT;
- le scelte in ambito cybersecurity sono guidate da un gruppo interfunzionale in staff all’intera organizzazione, in particolare in alcune pubbliche Amministrazioni centrali e Regioni e Province autonome.
Il ricorso a fornitori esterni in grado di offrire servizi per la Sicurezza Informatica è stato dichiarato soprattutto dalle Pubbliche Amministrazioni Locali.
Sono proprio gli Enti Locali che, tendenzialmente, contano su un numero limitato di risorse, ha dichiarare la necessità di ricorrere ai servizi di Sicurezza Informatica offerti da aziende specializzate nonchè fornitori consolidati della Pubblica Amministrazione Locale.
La gran parte di Enti che ancora non svolge iniziative di 'Valutazione dei Rischi di Sicurezza Informatica', anche se prevede di farlo quanto prima, entro al massimo il 2022. Sono le Pubbliche Amministrazioni Locali a mostrare complessivamente una minor attenzione al tema, sia a oggi che in previsione.
In termini di capacità di intercettazione delle minacce cyber e di risposta in modo efficace, la presenza di un Security Operation Center (SOC), interno o esterno, è di fondamentale importanza. In genere, i SOC utilizzati svolgono servizi di monitoraggio diretti a rilevare anomalie e seppure con minore frequenza gestiscono eventuali incidenti o svolgono servizi proattivi volti ad aumentare il livello di protezione degli Enti.
In questo scenario gli Enti della Pubblica Amministrazione Locale risultano più indietro sul fronte dei servizi finalizzati a migliorare il livello di protezione dell'organizzazione come 'security/vulnerability assessments', 'security awareness', 'threat intelligence/hunting' (servizi proattivi).