Cyber Index PMI: c’è ancora lavoro da fare per proteggere le piccole e medie imprese
Presentato a Roma il primo indice di sicurezza delle realtà italiane: solo il 17% dedica fondi al rischio cyber.
Non c’è nulla di nuovo nell’appurare quanto lo scenario delle PMI rappresenti il cuore pulsante della nostra economica. Con un dato tra l’80% e il 90%, le piccole e medie imprese contribuiscono al grosso del nostro PIL. Difenderle è dunque essenziale per assicurare un corretto prosieguo del business, riducendo al massimo il rischio cyber. Eppure, c’è ancora molto lavoro da fare. Almeno è quanto emerge dal primo Cyber Index PMI, il rapporto promosso da Generali e Confindustria, con il supporto scientifico degli Osservatori Cybersecurity & Data Protection della School of Management del Politecnico di Milano e con la collaborazione dell’Agenzia per la Cybersicurezza Nazionale, sullo stato di consapevolezza della cybersecurity delle suddette aziende.
L’indice analizza 708 piccole e medie imprese, per molte delle quali il “Cyber Index” risulta insufficiente, con un valore medio di 51 su 100, sotto la sufficienza del 60. Tra quelle considerate, il 65% proviene dal Nord, il 13% dal Centro e il 22% dal Sud e Isole. A livello dimensionale, il campione è composto per l’8% da micro imprese, il 50% da piccole imprese e il 42% da medie imprese. I comparti maggiormente rappresentati sono il manifatturiero (51% del campione), i servizi (34%) e l’ICT (7%). Per evitare effetti distorsivi sui risultati, le imprese fornitrici di soluzioni e servizi ICT non concorrono nella produzione del Cyber Index PMI. Il campione definitivo considerato è quindi pari a 658 PMI italiane. Le aziende sono state suddivise in 4 livelli di maturità. Il 14% è maturo: ha adottato un approccio strategico, consapevole dei rischi cyber e sa attuare iniziative che coinvolgono persone, processi e tecnologie. Il 31% è consapevole: comprende le implicazioni dei rischi cyber, ma la capacità operativa spesso presenta limiti per mettere in campo le corrette leve di attuazione. I 35% è informato: non del tutto consapevole sia dei rischi che degli strumenti, inoltre ha approccio famigliare. Il 20% è un principiante: scarsamente consapevole dei rischi cyber e senza misure di protezione. Il valore medio è di 43 punti per le microimprese, che sale a di 53 per le piccole mentre solo le medie raggiungono la sufficienza (fino a 61 punti).
Secondo il rapporto, il 58% delle PMI ha stabilito un budget per la sicurezza informatica della propria azienda ma solo il 17% ne stanzia uno mirato. Nello specifico di questi, il 57% monitora le anomalie, mentre il 41% mette in campo contromisure per ridurre l’esposizione degli utenti aziendali a rischi cyber, agendo sul fattore umano. Mette dunque in pratica policy comportamentali o iniziative di formazione degli utenti. Il 17% degli intervistati ha sottoscritto una polizza assicurativa ad hoc, mentre il 29% non conosce le opportunità di copertura del rischio cyber. A tal proposito, il 38% delle PMI prese in esame prevede di avviare iniziative di formazione, per accrescere le necessarie competenze che servono ad affrontare le sfide future.
Cyber Index PMI. Una filiera critica
Dal rapporto si evidenzia come il 52% delle PMI italiane operi all’interno di una filiera potenzialmente critica. Tra le situazioni più comuni, si riscontrano la fornitura di prodotti e servizi a società multinazionali e l’attività in paesi politicamente instabili (30% delle PMI). Dai dati presentati emerge una forte esposizione ai rischi di filiera, che richiede un’attenta analisi sia nell’ottica di difendere i sistemi informativi sia di tutelare la partecipazione di piccole e medie organizzazioni a catene del valore strategiche.
Le le PMI si dichiarano particolarmente preoccupate circa minacce di attacchi ransomware, al primo posto e citato dal 62% delle PMI, seguito da attacchi basati sul social engineering, per il 53% delle piccole e medie imprese. Seguono al 36% i malware in generale e chiudono la classifica col 14% gli attacchi di tipo DDoS. Il 14% residuo non conosce o non saprebbe giudicare le minacce.
Per l’Indice, il 61% delle PMI ritiene di poter essere un bersaglio di attacchi informatici e individua almeno un fattore di rischio all’interno del proprio perimetro, mentre il restante 39% non ritiene di poter essere l’oggetto di minacce. Le PMI italiane temono particolarmente per il possesso di ingenti moli di dati relativi a diversi attori, tra cui clienti, fornitori e dipendenti (nel 56% dei casi), anche in virtù della normativa sulla protezione dati e le conseguenze sia sanzionatorie, sia risarcitorie. Sorprende come l’appartenenza a filiere strategiche venga considerato un fattore di rischio solo dal 10% delle PMI, sebbene molte si dichiarino fornitori di multinazionali. Infine, l’esposizione al contesto geopolitico preoccupa solo il 4% dei rispondenti, a fronte di un 9% che invece opera attivamente in paesi instabili.
Gli attacchi peraltro possono avere conseguenze significative per le piccole e medie imprese tanto quanto per quelle delle grandi organizzazioni. Il 61% delle PMI teme l’interruzione o il ritardo delle operazioni aziendali, il che può portare a una significativa perdita di produttività e a un rallentamento dell'attività di vendita. Il 50% teme la violazione o l’alterazione dei dati aziendali, sia proprie che di terzi. Come anticipato, se i dati dei clienti vengono compromessi a seguito di un attacco informatico, l'azienda può violare le normative sulla privacy dei dati, comportando serie conseguenze finanziarie, legali e reputazionali. Proteggere i dati è importante anche per non dare adito ad attività estorsive, conseguenza che preoccupa il 43% delle PMI. Una conseguenza che viene spesso sottovalutata sono i costi di ripristino; dopo un attacco informatico, le PMI devono investire risorse significative per ripristinare i sistemi e i dati, migliorare la sicurezza informatica e implementare misure preventive per evitare futuri attacchi. Questi costi possono essere onerosi per le aziende con risorse limitate, soprattutto se all’attacco fanno seguito azioni legali da parte dei clienti, dei partner commerciali o delle autorità di regolamentazione. Infine, solo il 24% fa rientrare tra le tre principali preoccupazioni i danni d’immagine. Tuttavia, è sempre bene ricordare che la capacità di rispondere alle minacce cyber difficilmente raggiunge la piena maturità, anche in organizzazioni con elevate risorse. Secondo l’indagine condotta, il 32% delle PMI si sente preparato ad affrontare un attacco informatico, contro un 48% che non si ritiene pronto e un 20% che si dichiara poco preparato.
[Scopri il Security Operation Center di ReeVo Cloud & Cybersecurity. Grazie alla correlazione di tutti gli eventi e dei flussi di rete, il SOC di ReeVo è in grado di rilevare le anomalie e le minacce più sofisticate, definendone il contesto e stabilendo le priorità di remediation. Qui tutti i dettagli del nostro servizio H24 7 giorni su 7]
Cyber Index PMI. Servono figure dedicate
Implementare un presidio organizzativo comporta la chiara definizione dei ruoli e delle responsabilità all'interno dell'impresa per la gestione della sicurezza informatica, nonché la configurazione di relazioni con la proprietà, il team IT e il business. La soluzione ideale è la formalizzazione di una figura ad-hoc che presidi la sicurezza informatica, scelta fatta dal 17% delle PMI italiane.
Tale figura si colloca nel 40% dei casi all’interno dell’IT, nel 36% dei casi riporta direttamente alla proprietà, mentre nel restante 24% è inserito in un’altra funzione. Tuttavia, l’azione più ricorrente è l’assegnazione del presidio organizzativo ad un partner esterno (35%), che spesso gestisce interamente la sicurezza informatica aziendale. Questa soluzione si rivela spesso la più percorribile non richiedendo particolari investimenti iniziali, ma la visibilità sul processo di gestione del rischio cyber risulta spesso limitato.
Il 26% delle PMI ha poi deciso di assegnare la responsabilità della sicurezza a una figura affine, tipicamente rappresentata dall’IT manager. Preoccupa infine il 12% di PMI che non ritiene prioritario presidiare la sicurezza informatica, mentre il 10% sta valutando l’introduzione di un presidio.
Lo sviluppo di un piano di sicurezza informatica è una scelta strategica di livello intermedio, che ha coinvolto un campione di imprese con un’esposizione al rischio considerata medio-alta. Tra queste, il 35% ha definito un piano di sicurezza ma solo il 22% si impegna a rivederlo almeno annualmente. Il 45% invece non ha definito formalmente un piano ma si affida a prassi e linee guida informali. Nonostante la percentuale sul campione complessivo risulti bassa, si segnala comunque la presenza di piccole e medie imprese particolarmente avanzate.
Nel 79% delle PMI sono stati definiti diritti e modalità di accesso ai dati aziendali. Nel 68% esistono policy comportamentali per i dipendenti, volte a limitare i comportamenti che espongono l’organizzazione ai rischi cyber ma solo il 38% prevede iniziative di formazione per i dipendenti in materia di rischio cyber. Considerando le PMI ad alta esposizione al rischio, il 30% conduce simulazioni di phishing anche se il trasferimento del rischio cyber residuo è una possibilità ancora poco esplorata e conosciuta: solo il 17% ha già introdotto polizze assicurative, mentre il 25% non ne conosceva la possibilità.
La protezione dei dati risulta essere una delle priorità di sicurezza informatica per le imprese. Nel 68% delle PMI italiane sono presenti strumenti per la protezione dei dati; di queste un 23% li differenzia in base alla sensibilità dei dati stessi.
Del 55% di PMI che dichiara di aver introdotto strumenti per il monitoraggio di attività anomale, il 28% di queste lo fa ancora in maniera marginale mentre la protezione delle reti aziendali è chiave nella protezione della sicurezza informatica di un'impresa.
Tra le PMI con media esposizione al rischio, il 32% adotta strumenti avanzati e il 62% dispositivi di sicurezza di base. Infine, il 47% delle PMI ad alta esposizione al rischio non considera la partecipazione a programmi e attività di condivisione delle informazioni. solo il 13% svolge l'attività di info-sharing in maniera costante.
Nonostante una parte delle PMI italiane, specialmente di medie dimensioni, dimostri un buon livello di preparazione, una quota significativa di imprese sembra collocarsi nella fase iniziale di un percorso di maturazione nella gestione della sicurezza informatica.
Le PMI necessitano dunque di uno stimolo a integrare la gestione dei rischi cyber nella propria strategia aziendale, in modo da cogliere le opportunità e minimizzare gli impatti negativi derivanti da eventi imprevisti.
[Scopri il Security Operation Center di ReeVo Cloud & Cybersecurity. Grazie alla correlazione di tutti gli eventi e dei flussi di rete, il SOC di ReeVo è in grado di rilevare le anomalie e le minacce più sofisticate, definendone il contesto e stabilendo le priorità di remediation. Qui tutti i dettagli del nostro servizio H24 7 giorni su 7]