“Che cos’è la cybersecurity? Si tratta di una domanda alla quale le piccole e medie imprese italiane probabilmente risponderebbero in modo approssimativo. Anzi, per molte è un tema in larga parte sottovalutato”. Questo è ciò che emerge da un’indagine di Grenke Italia, società specializzata nel noleggio operativo di beni e servizi strumentali per le imprese, che ha indagato su come le aziende italiane svolgono attività di formazione in materia di cybersicurezza (o sicurezza informatica) per ridurre il rischio di attacchi informatici.
Indagine su 800 imprese
L’indagine, realizzata in collaborazione con Cerved Group e Clio Security, ha riguardato un campione di oltre 800 imprese con un fatturato compreso fra 1 e 50 milioni di euro e tra 5 e 250 dipendenti. “Questa ricerca ci dice che in realtà il problema del denaro non c’è perché appena il 2% dichiara che investire in cybersecurity è un tema di risorse. Il problema non è essere inconsapevoli dell’importanza perché oltre il 60% dice che è un aspetto essenziale per il loro business. Ma per qualche strana ragione si è formata nelle PMI un’equazione per cui la protezione dei dati, sulla quale hanno speso denaro per essere conformi alle regolamentazioni europee, è stata fatta coincidere con la cybersecurity. Purtroppo non è così”, ha spiegato Alessandro Curioni, esperto di cybersecurity e fondatore DI.GI Academy, società attiva nel settore della formazione, consulenza e sicurezza informatica.
Dati preoccupanti
Un altro dato allarmante è che Il 73,3% delle imprese non sa cosa sia un attacco ‘ransomware’ (programma dannoso che può ‘infettare’ un qualunque dispositivo digitale), mostrandosi impreparate a qualsiasi rischio, mentre il 43% non ha un responsabile della sicurezza informatica. Il 26% è quasi sprovvisto di sistemi di protezione e solo 1 azienda su 4 (22%) ha una rete ‘segmentata’, cioè più sicura. Inoltre meno della metà degli intervistati (48%) conosce il ‘phishing’ anche se risulta l’attacco informatico più subito dalle PMI italiane (il 12% lo ha affrontato). “Noi sappiamo che la conformità è fondamentale per gli adempimenti normativi: circa il 50% delle aziende hanno un regolamento aziendale in cui scrivono ai dipendenti come utilizzare i dispositivi. Per contro, il 72% non fa azioni formative in ambito di cybersecurity e quando le fa le affida tipicamente al Data Protection Officer, quindi con un forte orientamento verso la protezione dei dati – evidenzia Curioni -. Altro elemento significativo: meno di un’azienda su 3 effettua verifiche periodiche della sicurezza dei suoi sistemi informatici magari attraverso dei Penetration Test”. Per un’azienda intervistata su 5 la cybersecurity è poco rilevante nella gestione della sua attività e la grande maggioranza (61%) di queste lo afferma “perché non ritiene di trattare dati sensibili”.
Un problema culturale
Per quanto riguarda il livello di conoscenza alle azioni concrete, dal sondaggio emerge ancora di più l’impreparazione delle piccole e medie aziende del nostro Paese sul fronte della cybersicurezza. La maggioranza relativa delle aziende intervistate (45%) non ha effettuato verifiche sulla sicurezza informatica aziendale in passato e non prevede di farne in futuro. Per Alessandro Curioni della DI.GI Academy, la confusione riguardante questo tema e l’appiattimento sulla semplice protezione dei dati “sta trasformando il problema della cybersecurity in un problema culturale”. Tale preoccupazione è condivisa anche da Aurelio Agnusdei, Country Manager di Grenke Italia. “Il quadro che emerge da questo studio è tutt’altro che rassicurante – dichiara Agnusdei, sottolineando – non esiste una cultura della cybersicurezza per quanto riguarda le piccole e medie imprese e questo è ancora più preoccupante se si pensa che ci riferiamo al 95% delle imprese italiane. C’è un evidente scostamento tra rischio reale e rischio percepito e questo dipende spesso dall’assenza di risorse dedicate a questo argomento”, dichiara Agnusdei sottolineando che bisogna “innanzitutto creare una cultura: rendere le imprese consapevoli dei rischi che corrono e creare le condizioni affinché si possa porre rimedio a questa situazione di rischio”.
