La sicurezza informatica è sempre più importante per le piccole e medie imprese. Esse costituiscono la struttura portante dell’economia, ma sono ancora indietro sulla cybersecurity
Garantire adeguate condizioni di cybersecurity per le Pmi è di fondamentale importanza, se si considera che in tutto il mondo ci sono più di 330 milioni di piccole e medie imprese. Sono considerate la spina dorsale dell’economia globale. Nella stragrande maggioranza si tratta di micro imprese: nell’Unione Europea, per esempio, su 25 milioni di Pmi attive (dati 2018), il 93% sono micro.
L’80% delle Pmi elabora informazioni critiche: questo costituisce una preoccupazione cruciale in materia di sicurezza informatica. Phishing, malware e attacchi basati sul Web sono le cause più comuni dei cyber incidenti riscontrati da un’indagine condotta dall’ENISA, l’Agenzia UE per la cybersecurity.
Oltre a quelle esterne, c’è il problema delle minacce interne, su cui non c’è adeguata formazione. È un fenomeno generale che tocca un po’ tutti i Paesi: in Germania, per esempio, solo il 35% delle aziende sensibilizza i propri collaboratori su questo problema.
Cybersecurity per PMI: lo scenario attuale
Le piccole e medie imprese creano quasi il 70% dei posti di lavoro e del Pil in tutto il mondo, mette in luce il World Economic Forum.
In Europa le Pmi rappresentano la quasi totalità delle imprese non finanziarie, generando il 56,4% del Prodotto interno lordo e il 66,6% dell’occupazione. Sono imprese che generano ricchezza, pur affrontando difficoltà sempre crescenti (il caro energetico è uno degli ostacoli più sensibili), ma si dimostrano poco attente alla sicurezza informatica. Basti considerare il sondaggio svolto da ENISA nel 2021 cybersecurity e le piccole e medie imprese. Da esso emerge che il 45% delle imprese campione ha implementato nuove tecnologie in risposta alla pandemia, per lo più per facilitare il lavoro remoto per il personale, come l’accesso remoto o il passaggio al cloud computing. Tuttavia, oltre il 90% non hanno adottato misure di sicurezza nuove o aggiuntive per garantire la sicurezza di queste soluzioni. I problemi messi in luce sono diversi: scarsa consapevolezza del personale in materia di sicurezza informatica, protezione inadeguata delle informazioni critiche e sensibili, mancanza di budget, carenza di specialisti in sicurezza informatica ICT.
In Italia qual è la situazione? Nel report CLUSIT 2023 si legge che:
“Sia nelle Pmi che nelle grandi imprese la cybersecurity è la priorità di investimento numero uno da almeno due anni il che dimostra, unitamente al fatto che sempre più spesso di cyber si parla nei CdA, che a livello manageriale molto si è fatto per portare consapevolezza sul tema della sicurezza informatica.”
Tuttavia, guardando al notevole (+168,6%) aumento di cyber attacchi, la stessa Associazione Italiana per la Sicurezza Informatica segnala che pur essendo forte l’accelerazione verso il digitale, che ha visto fortemente coinvolte nell’ultimo triennio le Pmi, “da questi dati risultano evidentemente impreparate” a sostenere la crescente pressione di cyber attacchi. C’è molto da fare, quindi, in Italia e non solo.
Lo conferma anche la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti: e piccole e medie imprese, quando cercano di proteggersi dal numero crescente di attacchi informatici, devono affrontare maggiori svantaggi rispetto alle loro controparti aziendali più grandi.
Gli svantaggi includono la mancanza di personale, competenze e risorse. Oltre il 90% del personale di sicurezza informatica intervistato ha affermato di dover affrontare ostacoli nel proteggere le proprie organizzazioni dalle minacce informatiche e di prestare meno attenzione agli avvisi di sicurezza.
Cybersecurity per Pmi: 10 consigli da applicare
Detto questo, serve investire in modo mirato per aumentare il livello di sicurezza informatica. Ma occorre mettere in atto strategie efficaci per elevare la cybersecurity nelle Pmi. Serve spendere in sicurezza informatica, ma servono anche determinati presupposti. Un valido aiuto, per comprendere come fare, lo offre la Commissione Europea, attraverso il gruppo di lavoro TTC 9 dedicato a promuovere l’accesso e l’utilizzo degli strumenti digitali da parte delle Pmi. Quest’ultimo proprio di recente ha pubblicato un documento con le linee guida “di alto livello sulla sicurezza informatica per le piccole e medie imprese”.
Esso raccoglie sette suggerimenti chiari per diventare più sicuri dal punto di vista informatico, inclusi collegamenti a risorse e iniziative pertinenti.
1. Chiedere aiuto
Le PMI non dovrebbero esitare a chiedere aiuto quando necessario. Nell’Unione europea, le Pmi possono contattare la rete degli hub europei per l’innovazione digitale, i centri di coordinamento per la sicurezza informatica (uno in ogni Stato membro) nell’ambito del centro di competenza per la cybersecurity. In caso di incidenti informatici dolosi, le piccole e medie imprese non dovrebbero inoltre esitare a contattare le autorità nazionali e locali competenti, i fornitori di servizi e, dove possibile, un team di risposta alle emergenze informatiche.
2. Costruire una cultura della sicurezza informatica
Per affrontare efficacemente i rischi informatici, è necessario un cambiamento di mentalità. La consapevolezza sulla cybersecurity nelle Pmi dovrebbe essere aumentata e la sicurezza deve diventare un problema a livello aziendale, coinvolgendo tutti nell’adempimento delle responsabilità di sicurezza.
3. Identificare le risorse critiche
Con l’emergere di nuove tecnologie, anche le minacce informatiche diventano più complesse e difficili da prevedere. Quindi, è importante identificare tempestivamente i punti deboli delle imprese, mappando tutti gli asset critici: persone, infrastrutture fisiche, sistemi informativi, processi aziendali, immagine aziendale, nonché le tecnologie disponibili. Diverse organizzazioni offrono servizi in grado di aiutare a mappare e analizzare l’“impronta digitale” di un’azienda e i rischi di terze parti, oltre a fornire scansioni continue sulla sicurezza dei dati e consulenza personalizzata sulla sicurezza dei dati.
4. Adottare una strategia di sicurezza completa
È fondamentale comprendere la sicurezza, in quanto necessaria, e come implementarla nel modo più efficace. Ciò richiede un approccio olistico, che sappia comprendere la definizione di un piano di sicurezza, l’affidamento a un manuale specifico, l’adozione di procedure e protocolli basati su politiche e tecnologie certificate e lo svolgimento di controlli periodici sulla sicurezza informatica. Una strategia globale per la cybersecurity per le Pmi non deve necessariamente essere costosa da adottare e mantenere.
5. Investire nell’istruzione e nello sviluppo delle competenze
L’implementazione di misure di sicurezza informatica non implica solo l’installazione di determinate misure tecniche, ma richiede anche di educare i dipendenti su come utilizzare le tecnologie e fornire loro le competenze per lavorare in modo sicuro. È essenziale partire dalle basi, per esempio come proteggere al meglio i dispositivi tramite ID e password o crittografare le e-mail sensibili, nonché prendere in considerazione training e simulazioni immersivi. Si possono trovare diverse organizzazioni in grado di testare l’efficacia e la resilienza delle risorse aziendali, identificano e sfruttano i punti deboli nei controlli e simulano incidenti informatici dannosi.
6. Creare fiducia dall’interno e dall’esterno
Comprendere i propri rischi informatici e concepire in modo appropriato una strategia di sicurezza richiede anche la creazione di fiducia, necessaria in azienda per gestire al meglio il business e aumentare la credibilità presso i clienti, ma è preziosa anche nei confronti dei partner esterni. Condividere informazioni con altre Pmi sulle cause di incidenti informatici dolosi e sulle soluzioni sviluppate per affrontarli è estremamente importante per diventare più resilienti alle cyber aggressioni. Le collaborazioni con colleghi e pari grado, così come con le istituzioni competenti, devono essere alimentate e incoraggiate.
7. Procedere gradualmente
La sicurezza informatica è una questione dalle molteplici sfaccettature che dovrebbe essere affrontata passo dopo passo. ENISA, per esempio, ha sviluppato una guida alla cybersecurity per le Pmi con 12 passaggi su come le piccole e medie imprese possono proteggere meglio i propri sistemi e la propria attività, compreso lo sviluppo di una buona cultura della sicurezza informatica e lo sviluppo di un piano di risposta agli incidenti.
A queste raccomandazioni e linee guida, aggiungiamo altri tre consigli utili.
8. fare periodici backup
Sembra scontato, ma non lo è: secondo un’indagine Bva Doxa commissionata da Aruba, il 27% delle Pmi italiane non possiede un backup, dato che sale fino al 43% tra le piccole imprese.
Il backup dei dati è il processo di creazione di una copia delle informazioni generalmente memorizzate sul computer. È fondamentale contare su di esso, nel caso di guasti o – peggio – di cyber aggressioni malware.
9. Usare reti private virtuali
Le virtual private network (VPN) consentono alle organizzazioni di fornire connettività sicura tra dispositivi in luoghi fisicamente separati. Sono connessioni di rete crittografate che consentono agli utenti remoti di accedere in modo sicuro ai servizi di un’organizzazione. Rappresentano un modo per garantire la sicurezza dei “dati in transito” attraverso una rete non attendibile, ma offrono anche molti altri vantaggi.
10. Mantenere aggiornati i software e adottare firewall e protezioni antivirus
Ramsomware e, più in generale, malware sono sempre più diffusi. Ecco che come ultimo consiglio – ma non certo per importanza – segnaliamo la necessità di una adeguata gestione delle patch per software obsoleto, sia al sistema operativo che alle applicazioni. Questo aiuta a rimuovere le vulnerabilità critiche che possono essere sfruttare dai cyber malintenzionati per accedere ai dispositivi. Accanto a questo è fondamentale adottare software di protezione antivirus, fondamentali presupposti per sperare di costruire un’adeguata cybersecurity per le Pmi.
