È noto a tutti che, il tema della sicurezza informatica, interessi tutte le realtà aziendali. Nonostante ciò, è evidente che ogni organizzazione sia esposta in maniera differente alle singole minacce, e, soprattutto, abbia una diversa capacità di fronteggiarle. In questo articolo, a cura dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, spiegheremo come, le PMI, affrontino le minacce informatiche.
Partiamo dall’individuare come viene gestita la Cybersecurity dalle PMI.
A oggi, le piccole e medie imprese, portatrici di eccellenza e capacità competitiva, rappresentano il 99% del tessuto imprenditoriale del nostro Paese.
Proprio per la loro capacità di segnare la geografia economica dell’Italia, favorire la trasformazione digitale di queste imprese è fondamentale. In particolare, la sicurezza informatica, che gioca un ruolo fondamentale nella strategia di trasformazione tecnologica, rappresenta una vera e propria sfida.
Infatti, a causa delle loro dimensioni ridotte, le PMI tendono a focalizzarsi principalmente sul miglioramento dei processi produttivi e sul mantenimento di un alto livello di servizio per restare competitive, sottovalutando la loro esposizione ai rischi cyber.
In particolare, le PMI sono vulnerabili a minacce cyber e rischi informatici così come lo sono le grandi organizzazioni. Questo può avere, però, conseguenze significative sulle loro attività e sulla continuità del business, specialmente in un contesto di filiera. È quindi essenziale garantire la loro cybersicurezza e preservarne il patrimonio informativo.
Per identificare le criticità e lo stato di maturità delle PMI italiane, è stato promosso da Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection e la partnership con l’Agenzia per la Cybersicurezza Nazionale, il Rapporto Cyber Index PMI.
L’edizione 2023 dell’iniziativa ha evidenziato come la mancanza di consapevolezza riguardo la vulnerabilità informatica delle PMI ostacoli un corretto approccio strategico alla cybersecurity. Le principali criticità riguardano la mancanza di budget dedicati, la formalizzazione delle responsabilità e la carenza di investimenti in sensibilizzazione e formazione del personale. Inoltre, sul piano operativo, PMI non hanno processi strutturati di gestione del rischio che prevedano l’identificazione delle priorità e di azioni di mitigazione e un’assicurativa per la copertura del rischio residuo.
Il cyber index evidenzia come molte PMI si trovino ancora all’inizio del loro percorso di maturazione nella gestione del rischio cyber. In particolare, il valore medio dell’indice è 51 su 100, valore che tiene in considerazione tre diverse dimensioni di analisi: approccio strategico, identificazione (capacità di comprendere il fenomeno e identificare le minacce) e attuazione (capacità di mitigare il rischio cyber). Attraverso un’aggregazione delle imprese che hanno ottenuto punteggi simili, è stato possibile suddividerle in 4 livelli di maturità:
Nonostante una parte delle PMI italiane, specialmente di medie dimensioni, dimostri un buon livello di preparazione, una quota significativa di imprese sembra collocarsi nella fase iniziale del percorso di maturazione nella gestione della sicurezza informatica. Piccole e medie imprese necessitano quindi di uno stimolo a integrare la gestione del rischio cyber nella propria strategia aziendale. A tal fine, la collaborazione tra pubblico e privato può svolgere un ruolo chiave nella diffusione della cultura cyber.
Il progresso tecnologico, in particolare relativo allo sviluppo di tecniche di intelligenza artificiale generativa, amplifica l’esposizione delle persone ai rischi cyber e alla disinformazione. Diventa sempre più semplice creare testi e audio falsi che, se inviati a utenti non adeguatamente informati, potrebbero trarre in inganno dipendenti, dirigenti aziendali e figure di responsabilità e mettere a serio rischio il sistema informatico e il patrimonio informativo dell’organizzazione.
La gestione del fattore umano è di fatto una delle principali azioni da implementare per riuscire a mitigare il rischio cyber.
Stando ai risultati del Rapporto Cyber Index PMI, il 41% delle imprese intervistate prevede contromisure utili a limitare l’esposizione al rischio.
In particolare, oltre alle attività di formazione, rientrano nelle buone pratiche individuate anche la definizione di policy comportamentali che guidino gli utenti nell’utilizzo corretto dei dispositivi aziendali e nella gestione delle password e la gestione degli accessi a risorse e dati sensibili.
Conosci il rischio cyber e proteggi la tua azienda
