Cybersicuri, non è semplice. La sicurezza costa ma aiuta a salvare l’azienda
Cybersicurezza: l’Italia è ancora indietro, e le sue imprese stentano a dotarsi di adeguati strumenti contro attacchi Ict e violazione dati. I numeri forniti dal Report “Imprese e Ict, anno 2022” pubblicato dall’Istat paiono parlare chiaro. Ma è davvero così? In dieci punti, ecco la fotografia della situazione grazie al professor Gabriele Faggioli, responsabile scientifico dell'Osservatorio Cybersecurity & Data Protection del Politecnico di Milano e Presidente del Clusit, l’Associazione Italiana per la Sicurezza Informatica.
1. Alcuni dati del recente report dell’Istat. Rispetto al 2019, la quota di Pmi in cui, nel 2022, oltre la metà degli addetti ha avuto accesso a internet per scopi lavorativi è cresciuta di circa il 23%, un tasso in linea con le grandi aziende. Il 74,4% delle imprese con almeno 10 addetti usa almeno tre misure di sicurezza Ict (standard più basso). Meno quelle che adottano misure più avanzate: il 35,3% adotta misure preventive come le pratiche di valutazione dei rischi, il 31,8% esegue periodicamente test di sicurezza dei sistemi.
2. Lo scorso anno il 15,7% delle imprese con almeno 10 addetti e il 33,1% di quelle con almeno 250 addetti hanno affermato di aver subito almeno un problema tra, ad esempio, distruzione o corruzione dei dati, divulgazione di dati riservati e indisponibilità dei servizi.
3. Quindi a che punto siamo? «Le Pmi sono un po’ indietro - afferma Faggioli - anche a causa di una situazione legata ai costi che le piccole imprese spesso faticano a sopportare. La disponibilità di denaro e risorse che hanno i criminali è maggiore della capacità di difesa della singola azienda, e ciò crea un gap incolmabile».
4. Gli attacchi non potranno che aumentare, così anche la loro gravità, ma una forma di innalzamento dell’attenzione c’è stata. La situazione in Italia resta tuttavia complessa, in quanto il Paese sconta anni di arretratezza.
5. Recuperare terreno è certamente possibile, per ambire a una situazione di equilibrio. Ma ci vorrà tempo.
6. Una volta raggiunti risultati positivi, non bisogna fermarsi: «Parliamo - dice l’esperto - di una situazione che ogni anno si evolve. Il percorso riguardante le capacità di difesa è lungo, e perenne».
7. «Credo che si debba andare in una direzione di condivisione degli investimenti: se ogni azienda procede autonomamente si disperdono risorse e c’è poco da fare». I singoli tendono ad avere budget scarsi che vanno a produrre interventi poco rilevanti, il modello così è poco sostenibile.
8. Il percorso in atto a livello anche istituzionale è chiaro: «La normativa europea, traslata in Italia, sta portando risultati relativamente alla necessità di scambi di informazioni e di condivisione». Questo vale in particolare per le grandi aziende già inserite nel perimetro del tessuto nazionale di sicurezza cibernetica. Per quanto concerne le realtà non comprese in tale perimetro, c’è stata un’evoluzione ma occorre ancora lavorare molto.
9. La formazione è determinante: «Serve un innalzamento del livello di awareness dei dipendenti – dice Faggioli - su questo fronte il ruolo delle imprese è anche di supporto al Paese». Un dipendente informato è, di riflesso, un cittadino consapevole. In una società sempre più connessa, ciò può essere decisivo. Un esempio pratico: sui cookie, oggi, quasi una persona su due li accetta senza sapere di cosa si tratti esattamente.
10. Lo sviluppo di una cultura legata alla cybersecurity è in corso nelle grandi aziende in particolare, ma in ogni impresa l’attenzione sta crescendo. E questo è un segnale positivo.