MILANO (ITALPRESS) – Che cos’è la cybersecurity? Si tratta di una domanda alla quale le piccole e medie imprese probabilmente risponderebbero in modo approssimativo. Anzi, per molte è un tema in larga parte sottovalutato. E’ lo scenario preoccupante che emerge dalla survey di Grenke Italia, realizzata in collaborazione con Cerved Group e Clio Security, su un campione di oltre 800 imprese con un fatturato compreso fra 1 e 50 milioni di euro e con personale variabile dai 5 a i 250 dipendenti.
“Questa ricerca ci dice che in realtà il problema del denaro non c’è perchè appena il 2% dice che investire in cybersecurity è un tema di risorse. Il problema non è essere inconsapevoli dell’importanza perchè oltre il 60% dice che è un aspetto essenziale per il loro business. Ma per qualche strana ragione si è formata nelle PMI un’equazione per cui la protezione dei dati, sulla quale hanno speso denaro per essere conformi alle regolamentazioni europee, è stata fatta coincidere con la cybersecurity. Purtroppo non è così”, spiega Alessandro Curioni, esperto di Cybersecurity e fondatore DI.GI Academy.
Altro dato allarmante è che il 73,3% delle imprese non sa cosa sia un attacco ransomware mentre il 43% non ha un responsabile della sicurezza informatica. Il 26% è quasi sprovvisto di sistemi di protezione e solo 1 azienda su 4 (22%) ha una rete “segmentata” cioè più sicura. Inoltre meno della metà degli intervistati (48%) conosce il phishing anche se risulta l’attacco informatico più subito dalle PMI italiane (il 12% ha dichiarato di averlo subito).
“Noi sappiamo che la conformità è fondamentale per gli adempimenti normativi: circa il 50% delle aziende hanno un regolamento aziendale in cui scrivono ai dipendenti come utilizzare i dispositivi. Per contro il 72% non fa azioni formative in ambito di cybersecurity e quando le fa le affida tipicamente al Data Protection Officer, quindi con un forte orientamento verso la protezione dei dati – sottolinea Curioni -. Altro elemento significativo: meno di un’azienda su 3 effettua verifiche periodiche della sicurezza dei suoi sistemi informatici magari attraverso dei Penetration Test”.
Per un’azienda intervistata su 5 la cybersecurity è poco rilevante nella gestione della sua attività e la grande maggioranza (61%) di queste lo afferma perchè non ritiene di trattare dati sensibili. Quasi il 73% delle imprese intervistate non organizza per i dipendenti momenti di formazione sui rischi informatici e sulle precauzioni da adottare.
Passando dal livello di conoscenza alle azioni concrete emerge ancora di più l’impreparazione delle piccole e medie aziende del nostro Paese sul fronte della cybersicurezza. La maggioranza relativa delle aziende intervistate (45%) non ha effettuato verifiche sulla sicurezza informatica aziendale in passato e non prevede di farne in futuro.
Per Curioni la confusione riguardante questo tema e l’appiattimento sulla semplice protezione dei dati “sta trasformando il problema della cybersecurity in un problema culturale”. Una preoccupazione condivisa anche da Aurelio Agnusdei, Country Manager di Grenke Italia, operatore di noleggio operativo per le PMI.
“Il quadro che emerge da questo studio è tutt’altro che rassicurante. Non esiste una cultura della cybersicurezza per quanto riguarda le piccole e medie imprese e questo è ancora più preoccupante se si pensa che ci riferiamo al 95% delle imprese italiane. C’è un evidente scostamento tra rischio reale e rischio percepito e questo dipende spesso dall’assenza di risorse dedicate a questo argomento”, dichiara Agnusdei sottolineando che bisogna “innanzitutto creare una cultura: rendere le imprese consapevoli dei rischi che corrono e creare le condizioni affinchè si possa porre rimedio a questa situazione di rischio. Le piccole e medie imprese il più delle volte non hanno le risorse necessarie: è quindi importante che il mercato individui soluzioni scalabili che possano essere applicate a più imprese in maniera facile e con un approccio consulenziale”.
Ma come si può procedere per sensibilizzare in modo più incisivo le piccole e medie imprese? Secondo il presidente di AIPSA (Associazione Italiana Professionisti Security Aziendale) Alessandro Manfredini “un primo passo importante potrebbe essere una sorta di check-up della propria organizzazione per capire chi sono le persone, i processi e le tecnologie. Quindi mappare e capire se ci sono delle vulnerabilità non solo tecnologiche, ma anche di minor cultura che le persone che dovrebbe gestire determinati argomenti ancora non hanno. E infine iniziare in maniera imprenditoriale un percorso di adeguamento andando a mappare le priorità”.
Per quanto riguarda invece il tema delle competenze, Manfredini ritiene che oggi “scontiamo un gap generazionale e culturale sui temi di transizione digitale, a maggior ragione se si parla di cybersecurity. Sicuramente alcune aziende nel primo periodo avranno la necessità di doversi appoggiare a professionisti esterni”.
“Questa ricerca ci dice che in realtà il problema del denaro non c’è perchè appena il 2% dice che investire in cybersecurity è un tema di risorse. Il problema non è essere inconsapevoli dell’importanza perchè oltre il 60% dice che è un aspetto essenziale per il loro business. Ma per qualche strana ragione si è formata nelle PMI un’equazione per cui la protezione dei dati, sulla quale hanno speso denaro per essere conformi alle regolamentazioni europee, è stata fatta coincidere con la cybersecurity. Purtroppo non è così”, spiega Alessandro Curioni, esperto di Cybersecurity e fondatore DI.GI Academy.
Altro dato allarmante è che il 73,3% delle imprese non sa cosa sia un attacco ransomware mentre il 43% non ha un responsabile della sicurezza informatica. Il 26% è quasi sprovvisto di sistemi di protezione e solo 1 azienda su 4 (22%) ha una rete “segmentata” cioè più sicura. Inoltre meno della metà degli intervistati (48%) conosce il phishing anche se risulta l’attacco informatico più subito dalle PMI italiane (il 12% ha dichiarato di averlo subito).
“Noi sappiamo che la conformità è fondamentale per gli adempimenti normativi: circa il 50% delle aziende hanno un regolamento aziendale in cui scrivono ai dipendenti come utilizzare i dispositivi. Per contro il 72% non fa azioni formative in ambito di cybersecurity e quando le fa le affida tipicamente al Data Protection Officer, quindi con un forte orientamento verso la protezione dei dati – sottolinea Curioni -. Altro elemento significativo: meno di un’azienda su 3 effettua verifiche periodiche della sicurezza dei suoi sistemi informatici magari attraverso dei Penetration Test”.
Per un’azienda intervistata su 5 la cybersecurity è poco rilevante nella gestione della sua attività e la grande maggioranza (61%) di queste lo afferma perchè non ritiene di trattare dati sensibili. Quasi il 73% delle imprese intervistate non organizza per i dipendenti momenti di formazione sui rischi informatici e sulle precauzioni da adottare.
Passando dal livello di conoscenza alle azioni concrete emerge ancora di più l’impreparazione delle piccole e medie aziende del nostro Paese sul fronte della cybersicurezza. La maggioranza relativa delle aziende intervistate (45%) non ha effettuato verifiche sulla sicurezza informatica aziendale in passato e non prevede di farne in futuro.
Per Curioni la confusione riguardante questo tema e l’appiattimento sulla semplice protezione dei dati “sta trasformando il problema della cybersecurity in un problema culturale”. Una preoccupazione condivisa anche da Aurelio Agnusdei, Country Manager di Grenke Italia, operatore di noleggio operativo per le PMI.
“Il quadro che emerge da questo studio è tutt’altro che rassicurante. Non esiste una cultura della cybersicurezza per quanto riguarda le piccole e medie imprese e questo è ancora più preoccupante se si pensa che ci riferiamo al 95% delle imprese italiane. C’è un evidente scostamento tra rischio reale e rischio percepito e questo dipende spesso dall’assenza di risorse dedicate a questo argomento”, dichiara Agnusdei sottolineando che bisogna “innanzitutto creare una cultura: rendere le imprese consapevoli dei rischi che corrono e creare le condizioni affinchè si possa porre rimedio a questa situazione di rischio. Le piccole e medie imprese il più delle volte non hanno le risorse necessarie: è quindi importante che il mercato individui soluzioni scalabili che possano essere applicate a più imprese in maniera facile e con un approccio consulenziale”.
Ma come si può procedere per sensibilizzare in modo più incisivo le piccole e medie imprese? Secondo il presidente di AIPSA (Associazione Italiana Professionisti Security Aziendale) Alessandro Manfredini “un primo passo importante potrebbe essere una sorta di check-up della propria organizzazione per capire chi sono le persone, i processi e le tecnologie. Quindi mappare e capire se ci sono delle vulnerabilità non solo tecnologiche, ma anche di minor cultura che le persone che dovrebbe gestire determinati argomenti ancora non hanno. E infine iniziare in maniera imprenditoriale un percorso di adeguamento andando a mappare le priorità”.
Per quanto riguarda invece il tema delle competenze, Manfredini ritiene che oggi “scontiamo un gap generazionale e culturale sui temi di transizione digitale, a maggior ragione se si parla di cybersecurity. Sicuramente alcune aziende nel primo periodo avranno la necessità di doversi appoggiare a professionisti esterni”.
– Foto xh7/Italpress –
(ITALPRESS).
Commenta con Facebook