Il primo Rapporto Cyber Index PMI fotografa lo stato di consapevolezza dei rischi legati alle cyber minacce da parte delle piccole e medie aziende tricolori.
“Secondo la nostra esperienza”, commenta Cristina Spagnoli, Head of GRC & Strategic Consulting di Swascan, “che ci porta a confrontarci con i tipi più diversi di PMI italiane, la mancanza di una metodologia strutturata di gestione del rischio cyber rappresenta un gap molto comune”.
“Promuovere l’innovazione e favorire la trasformazione digitale delle PMI italiane”, aggiunge Bruno Frattasi, Direttore Generale dell’Agenzia per la cybersicurezza nazionale, “significa anche metterle in condizione di saper gestire il rischio derivante dagli incidenti informatici. A ciò si aggiunge anche la sfida posta dall’affermarsi di tecnologie dirompenti come l’Intelligenza Artificiale e il quantum computing, con tutte le opportunità e rischi che ne conseguono”.
Ecco cosa emerge dall’indice che monitora nel tempo il livello di comprensione dei rischi di sicurezza informatica all’interno delle PMI.
Indice degli argomenti
Il rapporto Cyber Index PMI
Realizzato da Generali e Confindustria, il rapporto vanta il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Dal rapporto emerge l’esigenza, e anche l’urgenza, di favorire la cultura cyber tra le PMI. L’obiettivo è quella di favorire la diffusione della consapevolezza e la gestione dei cyber rischi.
“Proprio in occasione della ricorrenza del mese europeo sulla cyber security”, conferma Davide Maniscalco, Chief Legal & Data Privacy Officer di Swascan (Tinexta Group), “il Cyber Index PMI 2023 rivela uno chiaro e puntuale spaccato dello stato di awareness degli scenari di rischio, nonché del significativo gap che il sistema di PMI italiano presenta ancora in termini di misure di sicurezza tecnico-organizzative nell’ambito di efficaci strategie di governance ‘top-down’, oltre che di concreti programmi di sicurezza informatica, condivisi, sostenuti e finanziati con budget adeguati”.
L’indice analizza 708 piccole e medie imprese, il cui Cyber Index risulta insufficiente. Hanno infatti raggiunto un valore di medio pari a 51 su 100, sotto la sufficienza che scatta dal 60 in su.
“Il rapporto”, sottolinea Giuseppe Dongu. Head of Cybersecurity Team di Swascan, “pone finalmente nero su bianco una realtà nota a chi lavora sul campo: troppo spesso manca un approccio strategico e culturale alla gestione del rischio cyber, con azioni frequentemente tattiche, figlie di situazioni contingenti, spesso derivanti da risposte ad incidenti“.
I 4 livelli di maturità
Le aziende sono state suddivise in 4 livelli di maturità:
- il 14% è maturo: ha adottato un approccio strategico, consapevole dei rischi cyber e sa attuare iniziative che coinvolgono persone, processi e tecnologie;
- il 31% è consapevole: comprende le implicazioni dei rischi cyber, ma la capacità operativa spesso presenta limiti per mettere in campo le corrette leve di attuazione;
- il 35% è informato: non del tutto consapevole sia dei rischi che degli strumenti, inoltre ha approccio «artigianale»;
- il 20% è un principiante: scarsamente consapevole dei rischi cyber e senza misure di protezione.
Il rapporto non fotografa significative differenze geografiche. Invece, il livello di maturità delle imprese ha a che fare con la dimensione aziendale: il valore medio è di 43 punti per le micro-imprese, sale a un valore di 53 per le piccole e solo le medie raggiungono la sufficienza (fino a 61 punti).
“La relazione tra dimensioni delle aziende e maturità“, mette in risalto Dongu, “credo debba far riflettere anche gli operatori del settore, driver importanti in questo ambito: probabilmente azioni proposte e messaggi veicolati andrebbero adattati meglio alla varie realtà, in modo che anche le micro e le piccole aziende possano far crescere il cyber index, che attualmente è rispettivamente a 43 e 53 su 100. Considerato quanto queste tipologie di aziende facciano a loro volta parte della supply chain di aziende più grandi, si capisce come questa situazione non debba essere sottovalutata”.
Il tasto dolente degli investimenti
Il 58% delle PMI ha stabilito un budget per la sicurezza informatica della propria azienda. Tuttavia, ancora nella maggior parte dei casi, ricade nelle spese IT, soltanto il 17% ne stanzia uno mirato alla cyber.
“Le difficoltà a stanziare fondi e a internalizzare figure professionali dedicate“, conferma Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, “rendono complesso identificare minacce e priorità di azione e spesso l’approccio al rischio cyber è solo di tipo artigianale. Solo il 14% delle organizzazioni si può considerare maturo, con un approccio strategico alla materia e in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie”.
Il 57% monitora le anomalie, mentre il 41% mette in campo contromisure per ridurre l’esposizione degli utenti aziendali a rischi cyber, agendo sul fattore umano. Quindi attua policy comportamentali o iniziative di formazione degli utenti.
Infine il 17% degli intervistati ha sottoscritto una polizza assicurativa ad hoc, mentre il 29% non conosce le opportunità di copertura del rischio cyber.
Cosa serve alle imprese per colmare il gap
Il Cyber Index PMI è frutto di una valutazione su tre differenti livelli: l’approccio strategico, la capacità di capire il fenomeno e le minacce (identificazione), l’istituzione di leve per mitigare il rischio (attuazione).
“Spesso la fase cruciale di identificazione dei rischi di sicurezza informatica è data come qualcosa di implicito nell’attività di tutti i giorni e lasciata alla professionalità, esperienza e anche memoria storica dei singoli addetti ai lavori”, sottolinea Cristina Spagnoli: invece “è fondamentale implementare un vero e proprio processo di gestione del rischio cyber, formalizzato, ripetibile, dotato di propri spazi, tempi e responsabilità ben definite”.
Il rapporto osserva inoltre che cresce l’attenzione sui rischi cyber. Tuttavia denuncia la mancanza di un autentico approccio strategico che pianifichi di definire investimenti e di formalizzare responsabilità aziendali, con un punteggio medio di 54 su 100.
Infatti “è essenziale che i rischi cyber, una volta identificati non restino ad uso e consumo esclusivo di chi si occupa di sicurezza, ma possano invece essere inseriti, al fianco degli altri rischi strategici per il business, in una più ampia attività di risk management aziendale“, evidenzia Cristina Spagnoli.
Capitolo Cyber Index PMI: attuazione
Le leve di attuazione sono più sviluppate, infatti hanno ottenuto un punteggio di 56 su 100. Ma le PMI incontrano difficoltà nel determinare priorità. A loro è stato infatti assegnato un valore medio di identificazione di 43 su 100, a causa dell’assenza delle azioni di identificazione corrette in materia di approccio alla materia in modo più lungimirante e consapevole.
“Il tessuto economico e produttivo italiano, largamente basato sulle PMI”, che ne costituiscono l’ossatura, “non può più permettersi tali vulnerabilità, soprattutto nella catena di fornitura, in uno scenario di rischio che continua a complicarsi per esposizione e pervasività”, mette in guardia il Chief Legal & Data Privacy Officer di Swascan.
Dunque “è molto importante supportare le PMI anche con misure fiscali che agevolino gli investimenti in sicurezza informatica”, conclude Davide Maniscalco.