È stata pubblicata la prima edizione del “Cyber Index Pmi. La cultura digitale protegge la tua impresa”, il report che fotografa lo stato di consapevolezza sulla cybersecurity tra le piccole e medie imprese italiane. Questo report è stato realizzato da Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano e con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale.
Questo report rappresenta il primo passo verso la creazione del futuro “Cyber Index” italiano, in linea con la Strategia Nazionale di Cybersicurezza, che a sua volta contribuirà all’indice europeo. Il Cyber Index Pmi sarà aggiornato annualmente per offrire un quadro in continua evoluzione della sicurezza digitale delle imprese italiane.
Secondo lo studio, che ha coinvolto oltre 700 imprese, le PMI italiane raggiungono complessivamente un livello di consapevolezza in materia di sicurezza digitale pari a 51 su 100. Sebbene il 45% delle PMI riconosca l’esistenza dei rischi cyber, solo il 14% adotta un approccio strategico e la capacità di valutare e mitigare il rischio cyber. Il restante 55% mostra una consapevolezza limitata, con il 20% di esso in una fase “principiante”.
Il report mette in luce l’importanza crescente della cybersecurity, con un aumento significativo degli attacchi informatici in tutto il mondo. La proliferazione delle nuove tecnologie digitali, accelerata dalla pandemia, ha ampliato la superficie di attacco, mentre l’instabilità geopolitica ha portato nuove minacce attraverso il conflitto russo-ucraino, mettendo in evidenza l’information warfare come una nuova area di rischio. La gestione della catena di fornitura è diventata sempre più critica, poiché le aziende sono interconnesse su scala globale, aprendo la porta a potenziali attacchi informatici attraverso terze parti. Dal 2018 al 2022 si è rilevato un aumento del 60% degli attacchi gravi di dominio pubblico a livello mondiale.
Il Cyber Index PMI valuta diverse dimensioni, tra cui:
- Approccio Strategico: Valuta se le PMI hanno un approccio strategico alla cybersecurity, incluso l’impegno dei vertici aziendali, la definizione di investimenti e la formalizzazione di responsabilità.
- Capacità di Identificazione: Misura la capacità delle PMI di comprendere i rischi cibernetici e le minacce ad essi correlate.
- Mitigazione del Rischio: Valuta le misure che le PMI hanno adottato per mitigare i rischi, compresi investimenti, tecnologie e azioni di formazione per il personale.
Le PMI sono classificate in quattro livelli di maturità in base al loro approccio alla sicurezza cibernetica: “mature,” “consapevoli,” “informate,” e “principianti.” Secondo i dati:
- Alcune PMI (14%) possono essere considerate “mature”, con un approccio strategico alla tematica, pienamente consapevoli dei rischi e in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie.
- Un ulteriore 31% è composto da aziende che si possono definire “consapevoli”, in grado di comprendere le implicazioni dei rischi cyber, ma con una capacità operativa spesso ridotta per poter mettere in campo le corrette azioni.
- Seguono poi le “informate”, categoria a cui afferisce il 35% delle PMI. Non pienamente consapevoli del rischio cyber e degli strumenti da mettere in atto, si approcciano al rischio cyber in modo «artigianale».
- Si segnala ancora un 20% di imprese che si possono definire “principianti”, poco consapevoli dei rischi cyber e con un basso livello di adozione di misure di sicurezza.
- Il livello di maturità delle imprese è correlato con la dimensione aziendale. Sebbene sia il questionario sia l’impostazione dell’indice tengano in considerazione questo aspetto, il cyber index sintetico passa da un valore medio di 43 per le micro-imprese, a 53 per le piccole e fino a 61 per le medie.
Non si evidenziano invece rilevanti differenze territoriali. La cybersecurity si conferma una tema critico in tutta la penisola, indipendentemente dalla provenienza geografica dell’azienda. Analizzando alcune aree verticali che compongono la gestione della cybersecurity aziendale, si dimostra il messaggio di sostanziale ritardo, sebbene alcune viste lascino ben sperare nel percorso di progressiva maturazione delle PMI. Nel 51% dei casi, infatti, il tema della cybersecurity è percepito come strategico, con un commitment da parte dei vertici aziendali che può portare anche in un loro coinvolgimento diretto.
Le principali iniziative di alto livello sono legate alla formalizzazione di una figura o una responsabilità di presidio della materia e alla definizione di un budget destinabile alla sicurezza informatica. Rispetto al primo punto, si evidenzia una tendenza ad esternalizzare le competenze (35% delle PMI preferisce affidarsi a fornitori esterni per la gestione della cybersecurity) dovuta alle risorse spesso limitate e alle difficoltà di reperimento sul mercato e inserimento in organico di figure con competenze specialistiche. Solo il 17% delle PMI ha inserito una figura interna ad-hoc, mentre permane una quota di PMI (22%) che non presidia la sicurezza informatica.
Per quanto riguarda gli investimenti, il 58% delle PMI manifesta un’attenzione concreta, stanziando un budget per la sicurezza informatica. Nella maggior parte dei casi i fondi attingono a un più ampio budget IT, mentre nel restante 17% se ne prevede uno dedicato. Per quanto riguarda le azioni di mitigazione, le principali evidenze sono relative ai temi tecnologici, alla gestione del fattore umano e al trasferimento del rischio:
- la maggior parte delle PMI (57%) ha introdotto una dotazione tecnologica per il monitoraggio delle anomalie e per la protezione dei dati aziendali;
- il 41% prevede contromisure per limitare l’esposizione degli utenti aziendali a rischi informatici, agendo sul «fattore umano» tramite l’introduzione di policy comportamentali o iniziative di formazione degli utenti;
- il trasferimento del rischio cyber residuo è una possibilità ancora poco esplorata e conosciuta dalle PMI. Una quota pari al 17% ha già stipulato polizze assicurative, mentre il 30% non è a conoscenza delle possibilità di copertura del rischio cyber.
La prima edizione del Cyber Index PMI rilascia messaggi “agrodolci”. Parte delle PMI italiane ha recepito la rilevanza del tema e si sta attrezzando per affrontare uno scenario in evoluzione, caratterizzato dall’inasprimento del rischio cyber. La ridotta dimensione delle Piccole e Medie Imprese, però, rende il percorso di maturazione arduo. Permane una quota significativa di aziende che faticano a gestire il rischio in maniera oculata e che ne sottovalutano i potenziali impatti. La notevole complessità del contesto rende necessaria una trasformazione culturale, interpretando la cybersecurity come un fattore abilitante della trasformazione digitale. Considerando la centralità assunta dalla materia nel contesto sociale globale e con l’obiettivo di rendere resiliente il sistema economico, si avverte l’opportunità di un approccio sistemico in cui, accanto alle organizzazioni, vi sia un ruolo crescente delle istituzioni per sensibilizzare e definire opportunità di investimento comuni, in aggiunta al rafforzamento infrastrutturale.
La durata pluriennale del Cyber Index PMI, iniziativa nata già con orizzonte triennale, consentirà di monitorare l’evoluzione della maturità delle PMI italiane, con l’auspicio di rilevare significative evoluzioni nell’approccio ai temi cyber.
https://www.generali.it/iniziative/iniziative-commerciali/cyber-index-pmi
https://www.confindustria.an.it/presentazione-rapporto-cyber-index-pmi/