Osservatori Digital Innovation

Pubblicato il 31 Jul 2024
Pubblicato il 31 Jul 2024
Sicurezza informatica aziendale: lo stato delle PMI

Sicurezza informatica aziendale: lo stato delle PMI


A oggi, le piccole e medie imprese, rappresentano il 99% del tessuto imprenditoriale del nostro Paese.

A causa delle loro dimensioni ridotte, le PMI tendono a focalizzarsi principalmente sul miglioramento dei processi produttivi e sul mantenimento di un alto livello di servizio per restare competitive, sottovalutando la loro esposizione ai rischi cyber. In particolare, le PMI sono vulnerabili a minacce cyber e rischi informatici così come lo sono le grandi organizzazioni. Questo può avere, però, conseguenze significative sulle loro attività e sulla continuità del business, specialmente in un contesto di filiera. È quindi essenziale garantire la loro cybersicurezza e preservarne il patrimonio informativo.

PMI e Cyber Security: le principali criticità
Per identificare le criticità e lo stato di maturità delle PMI italiane, è stato promosso da Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection e la partnership con l’Agenzia per la Cybersicurezza Nazionale, il Rapporto Cyber Index PMI.

L’edizione 2023 dell’iniziativa ha evidenziato come la mancanza di consapevolezza riguardo la vulnerabilità informatica delle PMI ostacoli un corretto approccio strategico alla cybersecurity. Le principali criticità riguardano la mancanza di budget dedicati, la formalizzazione delle responsabilità e la carenza di investimenti in sensibilizzazione e formazione del personale. Inoltre, sul piano operativo, PMI non hanno processi strutturati di gestione del rischio che prevedano l’identificazione delle priorità e di azioni di mitigazione e un’assicurativa per la copertura del rischio residuo.

Il cyber index evidenzia come molte PMI si trovino ancora all'inizio del loro percorso di maturazione nella gestione del rischio cyber. In particolare, il valore medio dell’indice è 51 su 100, valore che tiene in considerazione tre diverse dimensioni di analisi: approccio strategico, identificazione (capacità di comprendere il fenomeno e identificare le minacce) e attuazione (capacità di mitigare il rischio cyber). Attraverso un’aggregazione delle imprese che hanno ottenuto punteggi simili, è stato possibile suddividerle in 4 livelli di maturità:

- Principianti. Il 20% delle PMI si classifica come principiante, avendo ottenuto valori bassi in tutte e tre le dimensioni dell’indice. Queste PMI hanno una scarsa percezione del rischio cyber e faticano ad avviare un percorso per la gestione della cybersecurity
- Informate. La maggior parte delle PMI (35%) intervistate rientra nella categoria delle informate, ovvero non sono ancora pienamente consapevoli del rischio cyber e degli strumenti necessari per mitigarlo.
- Consapevoli. Le PMI “consapevoli” hanno una buona postura per quanto riguarda l’approccio strategico, con i vertici aziendali che si dimostrano interessati al tema. Fanno invece più fatica nelle attività di identificazione.
- Mature. Le PMI che si classificano come mature (14%) hanno piena consapevolezza del rischio cyber e delle misure necessarie a monitorarlo e mitigarlo.
Nonostante una parte delle PMI italiane, specialmente di medie dimensioni, dimostri un buon livello di preparazione, una quota significativa di imprese sembra collocarsi nella fase iniziale del percorso di maturazione nella gestione della sicurezza informatica. Piccole e medie imprese necessitano quindi di uno stimolo a integrare la gestione del rischio cyber nella propria strategia aziendale. A tal fine, la collaborazione tra pubblico e privato può svolgere un ruolo chiave nella diffusione della cultura cyber.

La gestione del fattore umano nelle PMI
Il progresso tecnologico, in particolare relativo allo sviluppo di tecniche di intelligenza artificiale generativa, amplifica l'esposizione delle persone ai rischi cyber e alla disinformazione. Diventa sempre più semplice creare testi e audio falsi che, se inviati a utenti non adeguatamente informati, potrebbero trarre in inganno dipendenti, dirigenti aziendali e figure di responsabilità e mettere a serio rischio il sistema informatico e il patrimonio informativo dell’organizzazione.

La gestione del fattore umano è di fatto una delle principali azioni da implementare per riuscire a mitigare il rischio cyber.

Stando ai risultati del Rapporto Cyber Index PMI, il 41% delle imprese intervistate prevede contromisure utili a limitare l’esposizione al rischio.

In particolare, oltre alle attività di formazione, rientrano nelle buone pratiche individuate anche la definizione di policy comportamentali che guidino gli utenti nell’utilizzo corretto dei dispositivi aziendali e nella gestione delle password e la gestione degli accessi a risorse e dati sensibili.

Nicola Ciani - Ricercatore dell'Osservatorio Big Data & Business Analytics

A oggi, le piccole e medie imprese, rappresentano il 99% del tessuto imprenditoriale del nostro Paese.

A causa delle loro dimensioni ridotte, le PMI tendono a focalizzarsi principalmente sul miglioramento dei processi produttivi e sul mantenimento di un alto livello di servizio per restare competitive, sottovalutando la loro esposizione ai rischi cyber. In particolare, le PMI sono vulnerabili a minacce cyber e rischi informatici così come lo sono le grandi organizzazioni. Questo può avere, però, conseguenze significative sulle loro attività e sulla continuità del business, specialmente in un contesto di filiera. È quindi essenziale garantire la loro cybersicurezza e preservarne il patrimonio informativo.

PMI e Cyber Security: le principali criticità
Per identificare le criticità e lo stato di maturità delle PMI italiane, è stato promosso da Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection e la partnership con l’Agenzia per la Cybersicurezza Nazionale, il Rapporto Cyber Index PMI.

L’edizione 2023 dell’iniziativa ha evidenziato come la mancanza di consapevolezza riguardo la vulnerabilità informatica delle PMI ostacoli un corretto approccio strategico alla cybersecurity. Le principali criticità riguardano la mancanza di budget dedicati, la formalizzazione delle responsabilità e la carenza di investimenti in sensibilizzazione e formazione del personale. Inoltre, sul piano operativo, PMI non hanno processi strutturati di gestione del rischio che prevedano l’identificazione delle priorità e di azioni di mitigazione e un’assicurativa per la copertura del rischio residuo.

Il cyber index evidenzia come molte PMI si trovino ancora all'inizio del loro percorso di maturazione nella gestione del rischio cyber. In particolare, il valore medio dell’indice è 51 su 100, valore che tiene in considerazione tre diverse dimensioni di analisi: approccio strategico, identificazione (capacità di comprendere il fenomeno e identificare le minacce) e attuazione (capacità di mitigare il rischio cyber). Attraverso un’aggregazione delle imprese che hanno ottenuto punteggi simili, è stato possibile suddividerle in 4 livelli di maturità:

- Principianti. Il 20% delle PMI si classifica come principiante, avendo ottenuto valori bassi in tutte e tre le dimensioni dell’indice. Queste PMI hanno una scarsa percezione del rischio cyber e faticano ad avviare un percorso per la gestione della cybersecurity
- Informate. La maggior parte delle PMI (35%) intervistate rientra nella categoria delle informate, ovvero non sono ancora pienamente consapevoli del rischio cyber e degli strumenti necessari per mitigarlo.
- Consapevoli. Le PMI “consapevoli” hanno una buona postura per quanto riguarda l’approccio strategico, con i vertici aziendali che si dimostrano interessati al tema. Fanno invece più fatica nelle attività di identificazione.
- Mature. Le PMI che si classificano come mature (14%) hanno piena consapevolezza del rischio cyber e delle misure necessarie a monitorarlo e mitigarlo.
Nonostante una parte delle PMI italiane, specialmente di medie dimensioni, dimostri un buon livello di preparazione, una quota significativa di imprese sembra collocarsi nella fase iniziale del percorso di maturazione nella gestione della sicurezza informatica. Piccole e medie imprese necessitano quindi di uno stimolo a integrare la gestione del rischio cyber nella propria strategia aziendale. A tal fine, la collaborazione tra pubblico e privato può svolgere un ruolo chiave nella diffusione della cultura cyber.

La gestione del fattore umano nelle PMI
Il progresso tecnologico, in particolare relativo allo sviluppo di tecniche di intelligenza artificiale generativa, amplifica l'esposizione delle persone ai rischi cyber e alla disinformazione. Diventa sempre più semplice creare testi e audio falsi che, se inviati a utenti non adeguatamente informati, potrebbero trarre in inganno dipendenti, dirigenti aziendali e figure di responsabilità e mettere a serio rischio il sistema informatico e il patrimonio informativo dell’organizzazione.

La gestione del fattore umano è di fatto una delle principali azioni da implementare per riuscire a mitigare il rischio cyber.

Stando ai risultati del Rapporto Cyber Index PMI, il 41% delle imprese intervistate prevede contromisure utili a limitare l’esposizione al rischio.

In particolare, oltre alle attività di formazione, rientrano nelle buone pratiche individuate anche la definizione di policy comportamentali che guidino gli utenti nell’utilizzo corretto dei dispositivi aziendali e nella gestione delle password e la gestione degli accessi a risorse e dati sensibili.

Nicola Ciani - Ricercatore dell'Osservatorio Big Data & Business Analytics