Pmi e Cybersecurity: il punto di partenza per fronteggiare i rischi

Cybersecurity: per le PMI è un grosso problema. Ecco la risposta, Augustas

Pmi e Cybersecurity: il punto di partenza per fronteggiare i rischi

Internet, i social media, le app mobile consentono alle aziende di ogni dimensione e area geografica di raggiungere nuovi e più ampi mercati, scoprire, conoscere e interagire con clienti e potenziali clienti – ma offrono anche l’opportunità di lavorare in modo più efficiente utilizzando le risorse da remoto. Questo nuovo bacino di risorse è molto invitante soprattutto per le PMI, in cerca di innovazione, spesso con budget ridotti, ma che operano in mercati sempre più competitivi.

IL DIGITAL FACILITA LE PMI, MA ANCHE LA LORO VULNERABILITA’

Che una PMI stia pensando di adottare il cloud computing o si limiti ad utilizzare la posta elettronica per condividere file allegati, dovrebbe comunque includere la sicurezza informatica tra gli ambiti critici da presidiare. Le azioni attuate per incrementare il livello di Cyber Protection non devono riguardare esclusivamente la sicurezza della rete e dei server aziendali, ma anche l’utilizzo dei dati e della strumentazione informatica da parte dei propri dipendenti e collaboratori. Basti pensare che il furto di informazioni e credenziali aziendali sta ormai assumendo un’incidenza maggiore del furto “fisico” di oggetti.

Ogni azienda, non solo le PMI, che utilizza Internet per fini lavorativi e tratta dati sensibili deve acquisire la consapevolezza del bisogno di creare una cultura della sicurezza che rafforzi la fiducia dei suoi interlocutori, dai clienti ai fornitori, dai partner ai collaboratori interni.

GLI ATTACCHI INFORMATICI SONO CHIARAMENTE UN’EMERGENZA

Sempre più spesso, ormai con frequenza mensile (se non settimanale), i principali quotidiani e agenzie giornalistiche pubblicano tra le notizie di maggior rilievo i casi di attacchi cyber ad infrastrutture critiche. Analizzando i dati quantitativi, si osserva che l’aumento delle notizie sugli attacchi cyber non è solo un trend giornalistico.

Secondo quanto riportato dal Clusit nel Rapporto 2022 sulla sicurezza ICT in Italia: “tra i trend di cybersecurity più rilevanti del 2021 si osserva la continua crescita dei malware e botnet, con un numero di server compromessi che fa segnare un netto +58%”.

Oltre all’incremento del numero di attacchi, ad allarmare è soprattutto la crescita delle perdite derivanti da attacchi informatici “stimate in 1 trilione di dollari per il 2020 e 6 trilioni per il 2021”.

Alla luce di tutto ciò, gli attacchi informatici non solo hanno un impatto immediato e pesante sulla continuità operativa. Hanno anche un costo economico ingente, dovuto al ripristino dei sistemi e programmi digitali senza cui l’azienda non può lavorare, all’eventuale risarcimento richiesto dagli interessati che hanno subito la perdita o l’utilizzo illecito dei propri dati, fino ad arrivare, nei casi peggiori, al pagamento del “riscatto” imposto dagli hacker per sbloccare i dati criptati, nel caso in cui la Società abbia subito un ransomware.

IL LIVELLO DI CYBER SECURITY DELLE PMI

Per ridurre i costi, o per mancanza di tempo, spesso le piccole imprese trascurano alcune importanti misure di sicurezza informatica, lasciando inconsapevolmente “la porta aperta” ai cyber-criminali.

Alcuni imprenditori e manager delle PMI mantengono un livello di attenzione relativamente basso sulla sicurezza informatica nella convinzione, abbastanza diffusa, che gli hacker puntino al cosiddetto “bersaglio grosso”, ossia grandi aziende a cui è possibile causare danni significativi, ottenendo eventualmente grande visibilità e grandi ritorni economici. Questa convinzione è ormai desueta perché, se è vero che alcuni hacker (o gruppi di hacker) hanno l’obiettivo primario di attaccare asset critici, è altrettanto vero che sta crescendo significativamente il numero di criminali informatici con poca esperienza che ha la sola finalità di ottenere del denaro dalle proprie condotte illecite. Questa categoria di “attaccante”, che sta diventando preponderante, preferirà aggredire dei sistemi poco protetti, piuttosto che tentare di superare delle misure di cyber security solide e strutturate, aumentando i propri rischi e gli sforzi necessari per raggiungere il proprio obiettivo.

Tuttavia, è importante non fare di tutta l’erba un fascio. Basandosi sull’ultima rilevazione del Digital Intensity Index (DII), un indicatore composito costituito da 12 parametri di misurazione che è stato adottato dall’Unione Europea per misurare il livello di digitalizzazione, è emerso che il 48,3% delle imprese con almeno 10 addetti dispone di documenti su misure, pratiche o procedure di sicurezza informatica (era il 34,4% nel 2019, mentre la media UE è del 37%). Tuttavia, nonostante il trend di crescita sia incoraggiante, il dato dimostra che più di 1 azienda su 2 non ha adottato misure strutturate di cyber security. In aggiunta, dalla valutazione degli altri indicatori emergono gap importanti tra le PMI e le imprese di maggiori dimensioni, relativi alla presenza di specialisti, alla formazione e alla sicurezza informatica avanzata.

Nunzia Ciardi, vice direttore generale dell’Agenzia per la Cybersicurezza Nazionale sintetizza chiaramente questa situazione: “Le Pmi non hanno sempre un indice di consapevolezza elevato nonostante il tema della cyber security stia piano piano emergendo nel dibattito pubblico, e spesso a causa di fatti criminali. Viceversa, le grandi imprese hanno un discreto livello di consapevolezza che non sempre si manifesta nella sua interezza. Ma il problema è proprio questo: le PMI rappresentano il tessuto connettivo del paese e la compromissione dei loro asset digitali può facilmente riverberarsi sulle grandi aziende di cui sono fornitori. È il famoso tema della supply chain e dell’importanza di proteggerla. Quindi non basta avere soltanto le grandi aziende protette, devono esserlo anche le piccole, e affinché lo diventino devono capire la posta in gioco. A quel punto sarà più facile capire che spendere in sicurezza non è solo un costo ma un investimento”.

IL PUNTO DI PARTENZA: UNA VISIONE GENERALE

Per impostare un piano di Cyber Security è importante acquisire la consapevolezza che non è sufficiente acquistare un antivirus o un firewall. Occorre infatti definire un piano di gestione del rischio informatico, basandosi sulle seguenti fasi:

  • Mappatura dei Processi Informatici;
  • Assessment delle Soluzioni e Tecnologie utilizzate;
  • Mappatura dei rischi informatici;
  • Gap Analysis;
  • Definizione dell’Action Plan e supporto per l’implementazione delle azioni di rafforzamento.

Augustas offre soluzioni dedicate alle PMI proprio per avviare un percorso di Risk Management graduale e per settori, partendo prima di tutto dalla conoscenza dei rischi e dalla preparazione di efficaci misure per la loro gestione.

Per una consulenza su misura e/o informazioni sulla nostra strategia e i servizi per la preparazione al rischio, e non solo, vi invitiamo a scaricare la brochure informativa e mettervi in contatto con noi!

I nostri esperti sono a vostra disposizione.