Nell’attuale era digitale risulta di fondamentale importanza garantire adeguate condizioni di cyber security per le PMI, soprattutto se si tiene in considerazione che in tutto il mondo esistono più di 330 milioni di piccole e medie imprese, le quali sono considerate la spina dorsale dell’economia globale.
Nella maggior parte dei casi si tratta di “microimprese”: nell’Unione Europea, per esempio, su 25 milioni di PMI attive (dati 2018), il 93% sono micro. L’80% delle PMI elabora informazioni critiche, giustificando l’insorgenza di molteplici problemi, e crescenti preoccupazioni, in materia di sicurezza informatica.
Infatti, fenomeni come il phishing, i malware e gli attacchi “web based” rappresentano le cause più comuni dei cyber incidenti riscontrati dall’Agenzia dell’Unione europea per la sicurezza informatica (ENISA).
Trattasi, a ben vedere, di un problema diffuso tra tutti i Paesi dell’Unione: in Germania, per esempio, solo il 35% delle aziende sensibilizza i propri collaboratori sulle questioni afferenti alla cyber security, senza considerare che le piccole e medie imprese creano quasi il 70% dei posti di lavoro e del Pil in tutto il mondo, secondo quanto illustrato dal World Economic Forum.
Quantificazione e gestione del rischio cyber: concentrarsi sulle priorità
Indice degli argomenti
Cyber security e PMI: dati preoccupanti in Italia
Anche in Italia i dati appaiono preoccupanti: infatti, le PMI attualmente avrebbero maturato un livello di consapevolezza in materia di sicurezza digitale di 51 su 100, al di sotto del livello di sufficienza individuato in 60.
È quanto afferma il primo rapporto “Cyber Index PMI 2023”, l’indice che misura lo stato di consapevolezza in materia di rischi cyber delle aziende piccole e medie, è promosso da Confindustria e Generali con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Il dato principale che emerge da detto indice riguarda la necessità di una maggior diffusione e promozione della cultura dei rischi cyber tra le organizzazioni aziendali di piccole e medie dimensioni. Il 45% delle 708 PMI intervistate come campione riconosce il rischio cyber, ma solo il 14% ha un approccio strategico in materia e la capacità di valutare il rischio cyber e di mitigarlo.
Il livello di maturità delle PMI in Italia
I rispondenti, rappresentativi dell’intera popolazione di PMI italiane, sono stati poi raggruppati in quattro livelli di maturità:
- il 14% è considerato maturo, ovvero ha un approccio strategico alla materia, è pienamente consapevole dei rischi ed è in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie;
- il 31% può essere definito come consapevole, ovvero è in grado di comprendere le implicazioni dei rischi cyber, ma con una capacità operativa spesso ridotta per poter mettere in campo le corrette azioni;
- il 35% è “informato”, non pienamente consapevole del rischio e degli strumenti da utilizzare;
- il 55% è “poco consapevole”, e un 20% si può definire “principiante”.
La situazione in Europa
In Europa le PMI rappresentano la quasi totalità delle imprese non finanziarie, generando il 56,4% del prodotto interno lordo e il 66,6% dell’occupazione.
Nonostante creino una grande ricchezza si dimostrano poco sensibili alla tematica della sicurezza informatica, come rileva il sondaggio svolto da ENISA nel 2021.
Da esso emerge che il 45% delle imprese campione ha implementato nuove tecnologie dopo il 2020, per lo più per facilitare il lavoro in smart working per il personale, come l’accesso remoto o il passaggio al cloud computing. Tuttavia, oltre il 90% delle aziende non ha adottato misure aggiuntive a quelle già esistenti per rafforzare la sicurezza di tali soluzioni, lasciando sostanzialmente la struttura invariata.
Sostenere le PMI nella formulazione di piani di sicurezza
Per sostenere le PMI e agevolarle nella formulazione di piani di sicurezza, durante l’evento “Cybersecurity e PMI” tenutosi nel luglio 2022, l’European Digital SME ha presentato una guida ai controlli di sicurezza delle informazioni per le piccole e medie imprese e basata sugli standard internazionali, in primis la ISO 27002 nonché le norme ISO 27701,17021,17065 di pari passo con il regolamento GDPR.
La guida contiene controlli di gestione della sicurezza, controlli di sicurezza informatica, raccomandazioni sulla sicurezza fisica e controlli sulla protezione della privacy, insieme ad indicazioni sulla governance della sicurezza delle informazioni.
L’obiettivo del documento è quello di supportare le PMI in maniera più concreta nel conformarsi ai requisiti in materia di sicurezza informatica e di sviluppare le proprie capacità tecniche al riguardo. La sicurezza informatica è un requisito per l’intera catena di approvvigionamento, che garantisce il passaggio graduale dei processi industriali dal mondo fisico al cyberspazio.
Il tool di ENISA per testare la sicurezza delle PMI
Allo stesso tempo, ENISA nell’aprile 2023 ha rilasciato un tool per “testare” la sicurezza delle piccole e medie imprese che cercano di comprendere il loro attuale livello di maturità di sicurezza informatica.
“Essendo un importante motore dell’innovazione e della crescita nell’UE e attori chiave della nostra economia, le PMI affrontano costantemente sfide di sicurezza informatica e per questo è essenziale sostenerle nell’affrontare queste sfide e nell’identificare miglioramenti”, ha affermato l’ENISA.
Lo strumento di valutazione della maturità include le seguenti funzioni: Valutazione della sicurezza informatica e piano d’azione personalizzato per la sicurezza informatica.
Tali strumenti sono configurati attorno a tre aree chiave, consentendo la valutazione di: persone, tecnologia e processi.
Il ruolo di ENISA, dunque, è quello di sostenere le PMI e gli stati membri dell’UE al fine di aumentare la comprensione dei rischi e delle minacce informatiche, aumentare la consapevolezza e promuovere le migliori pratiche di sicurezza informatica, promuovere una maggiore coordinazione e lo scambio di migliori pratiche tra gli Stati membri e allargare la comunità di moltiplicatori attraverso le autorità nazionali dell’UE.
Tale lavoro contribuisce anche all’attuazione della Direttiva sulla sicurezza delle reti e delle informazioni (NIS2) aggiornata, sostenendo gli Stati membri con le politiche richieste che devono adottare per rafforzare la resilienza informatica.
Tuttavia, molte delle PMI sono escluse dal campo di applicazione della direttiva a causa delle loro dimensioni e, per tali ragioni, il tool progettato da ENISA fornisce loro una guida e un’assistenza facilmente accessibile per le loro esigenze.
Le priorità nella cyber security? Best practice e buon senso operativo
Conclusioni
Gli studi evidenziano che, anche se tra le PMI c’è una maggiore attenzione sulla cybersicurezza, manca un vero e proprio approccio strategico che preveda la definizione chiara e puntuale di investimenti e una formalizzazione di responsabilità.
I problemi emersi, quindi, risultano: una scarsa consapevolezza del personale in materia di sicurezza informatica, una protezione inadeguata delle informazioni critiche e sensibili, una mancanza di budget e una rilevante carenza di specialisti in sicurezza informatica ICT.
Una soluzione potrebbe esserci con i 623 milioni di euro previsti dal PNRR per finanziare il rafforzamento delle difese cyber, riservando una quota della spesa che consenta anche alle imprese private di consolidare le proprie difese cibernetiche nel breve e lungo periodo.
Anche l’inserimento indispensabile della figura di un responsabile della sicurezza aziendale aiuterebbe le imprese e formulare dei “piani cyber” che guardino al rischio in un’ottica di prevenzione e non di “cura” del danno.
