In base ai dati contenuti nel rapporto nel rapporto Information Security Management 2013 di NextValue, dei 19 miliardi di euro che compongono la spesa IT in Italia, il 7% è generato da investimenti in security, percentuale che corrisponde a 1,327 miliardi. Un volume di spesa non indifferente, quindi,  e che si stima possa crescere ulteriormente nel corso dell’anno nonostante la contrazione generalizzata che si sta verificando nel mondo IT in questo periodo.
La survey condottta da NextValue su un campione di 170 CIO e responsabili della sicurezza di medie e grandi organizzazioni italiane evidenzia un cambiamento sostanziale: le aziende, dice Alfredo Gatti, Ceo della società, manifestano oggi una sensazione di maggiore vulnerabilità, in contrasto a una relativa sicurezza che si era invece evidenziata negli anni precedenti. In particolare le criticità che vengono evidenziate fanno riferimento al rischio di divulgazione e al furto di informazioni, ai possibili danni conseguenti la perdita dei dispostivi mobili così come a un sempre più crescente utilizzo di social media.
Come procedere per riuscire a contrastare e ridurre i rischi cui è esposta l’azienda? Se viene riconosciuta l’esistenza di una maggiore vulnerabilità è naturale che vi sia una predisposizione a un maggiore investimento. Il problema, però, è che spesso vi è una difficoltà nel dimostrare il valore del ritorno di questo stesso investimento. Eppure è la stessa logica che interessa tutte le forme assicurative: l’investimento in security, al di là dell’essere dettato da obblighi normativi di compliance, legislativi e di settore, mette al riparo da possibili rischi per cui deve essere compreso quale livello di rischio si ritiene accettabile.
Il fatto è che il livello di rischio cui si è esposti è drammaticamente mutato nel tempo e le protezioni tradizionali di IT security sono ormai divenute insufficienti. Se da una parte deve essere messa in sicurezza una componente che sta diventando pervasiva a livello aziendale, ovvero quella mobile, rappresentata da smartphone e tablet, dall’altra si vanno diversificando, intensificando e divenendo più sofisticate le tipologia degli attacchi perpetrati (fonte Clusit). 
La maggiore insidiosità degli attacchi messi a segno nel corso del 2012 è bene evidenziata dai dati raccolti dal rapporto Clusit Per quanto riguarda il volume di spesa nel rapporto Clusit si  afferma che sono il 42% delle aziende italiane ad avere aumentato la spesa nel corso del 2012 mentre per il 2013 si prevede che l’incremento interesserà una quota di aziende di circa un quarto inferiore (32%) rispetto a quanto registrato nel precedente anno. L’investimento risulta  poi direttamente proporzionale alla dimensione aziendale, una dato che non rappresenta una novità considerato che la spesa informatica italiana è determinata per il 68% dalle grandi aziende.