Secondo quanto che emerge dalla survey di Grenke Italia, realizzata in collaborazione con Cerved Group e Clio Security, su un campione di oltre 800 imprese con un fatturato compreso fra 1 e 50 milioni di euro e con personale variabile dai 5 ai 250 dipendenti, le Pmi sottovalutano tema sulla cybersecurity. “Questa ricerca ci dice che in realtà il problema del denaro non c’è perché appena il 2% dice che investire in cybersecurity è un tema di risorse. Il problema non è essere inconsapevoli dell’importanza perchè oltre il 60% dice che è un aspetto essenziale per il loro business. Ma per qualche strana ragione si è formata nelle PMI un’equazione per cui la protezione dei dati, sulla quale hanno speso denaro per essere conformi alle regolamentazioni europee, è stata fatta coincidere con la cybersecurity. Purtroppo, non è così”, spiega Alessandro Curioni, esperto di Cybersecurity e fondatore DI.GI Academy.
Imprese poco informate
Altro dato allarmante è che il 73,3% delle imprese non sa cosa sia un attacco ransomware mentre il 43% non ha un responsabile della sicurezza informatica. Il 26% è quasi sprovvisto di sistemi di protezione e solo 1 azienda su 4 (22%) ha una rete “segmentata” cioè più sicura. Inoltre, meno della metà degli intervistati (48%) conosce il phishing anche se risulta l’attacco informatico più subito dalle PMI italiane (il 12% ha dichiarato di averlo subito). “Noi sappiamo che la conformità è fondamentale per gli adempimenti normativi: circa il 50% delle aziende hanno un regolamento aziendale in cui scrivono ai dipendenti come utilizzare i dispositivi. Per contro il 72% non fa azioni formative in ambito di cybersecurity e quando le fa le affida tipicamente al Data Protection Officer; quindi, con un forte orientamento verso la protezione dei dati – sottolinea Curioni -. Altro elemento significativo: meno di un’azienda su 3 effettua verifiche periodiche della sicurezza dei suoi sistemi informatici magari attraverso dei Penetration Test”.
Gestione e formazione
Per un’azienda intervistata su 5 la cybersecurity è poco rilevante nella gestione della sua attività e la grande maggioranza (61%) di queste lo afferma perché non ritiene di trattare dati sensibili. Quasi il 73% delle imprese intervistate non organizza per i dipendenti momenti di formazione sui rischi informatici e sulle precauzioni da adottare. Passando dal livello di conoscenza alle azioni concrete emerge ancora di più l’impreparazione delle piccole e medie aziende del nostro Paese sul fronte della cybersicurezza. La maggioranza relativa delle aziende intervistate (45%) non ha effettuato verifiche sulla sicurezza informatica aziendale in passato e non prevede di farne in futuro. Per Curioni la confusione riguardante questo tema e l’appiattimento sulla semplice protezione dei dati “sta trasformando il problema della cybersecurity in un problema culturale”. Una preoccupazione condivisa anche da Aurelio Agnusdei, Country Manager di Grenke Italia, operatore di noleggio operativo per le PMI.