Per le piccole medie imprese italiane sembra che la sicurezza informatica sia un argomento di grande discussione, ma con una limitata priorità.
Durante la presentazione del Rapporto Clusit di metà anno è infatti emerso che molte PMI sono vulnerabili agli attacchi informatici a causa di una mancanza di competenze, di consapevolezza e di strumenti adeguati.
Il divario tra domanda e offerta
Il divario tra domanda e offerta di professionisti qualificati in IT security è attualmente uno dei problemi più significativi, come ha spiegato Luca Chiantore, direttore generale dell’Università di Modena e Reggio Emilia, durante un suo intervento nel corso della presentazione del Rapporto Clusit: “La sfida per l’università è produrre tanti laureati che possano fornire un supporto alle aziende del territorio. La domanda di professionisti in questo settore è superiore all’offerta, e ciò richiede di incrementare notevolmente il numero di esperti formati per far fronte a una richiesta che non accenna a diminuire”.
Solo il 12% delle PMI possiede team per la sicurezza
Questa carenza di esperti aggrava ulteriormente le difficoltà per le PMI, che spesso non riescono a trovare figure qualificate per gestire in maniera efficace la sicurezza informatica e che quindi devono ricorrere a soluzioni miste, che prevedono una combinazione tra team interni e l’assistenza di fornitori esterni specializzati. Tuttavia, “non è detto che una piccola azienda riesca a dotarsi di un team che assicuri una copertura oraria così impegnativa, come quella richiesta per il monitoraggio H24”, ha osservato Mauro Cicognini, membro del Comitato Scientifico Clusit. Prova ne è che solo il 12% delle PMI possiede un team interno dedicato. Questo aspetto limita la capacità di reazione delle PMI alle minacce in tempo reale, aumentando il rischio di attacchi non rilevati o gestiti in modo inefficace.
Il fattore umano è una della maggiori vulnerabilità
Un’altra problematica evidenziata è il fattore umano, che resta uno dei punti più vulnerabili per la sicurezza informatica. La formazione e la sensibilizzazione sui temi della cyber security sono cruciali non solo a livello tecnico, ma anche e soprattutto a livello dirigenziale. “Non possiamo pensare che la sensibilità verso la sicurezza nasca solo dal basso. È necessario che la consapevolezza sia completa, partendo dalla dirigenza per arrivare alle prime linee”, ha evidenziato Giuseppe Molinari, presidente della Camera di Commercio di Modena, rimarcando come sia fondamentale una responsabilizzazione della leadership aziendale in questo ambito. Non è raro, infatti, che i responsabili di alto livello non siano pienamente consapevoli delle potenziali minacce, lasciando che la sicurezza informatica venga gestita solo dal personale tecnico senza un’adeguata supervisione.
Il 69,8% non sa se ha subito attacchi
Un altro elemento fonte di grande rischio è la mancanza di consapevolezza tra le PMI riguardo alla propria esposizione al rischio informatico. “Un terzo delle aziende ha subito attacchi informatici senza nemmeno rendersene conto”, ha sottolineato Cicognini, portando alla luce un dato allarmante che riflette l’impreparazione diffusa nel settore. Questa mancanza di consapevolezza si traduce in una risposta inadeguata alle minacce, poiché molte PMI non dispongono nemmeno degli strumenti di base per il monitoraggio e la rilevazione delle attività sospette, come sistemi di rilevamento delle intrusioni (IDR) o antivirus centralizzati. Prova ne è che il 71% delle PMI ha dichiarato di non sapere cosa fare qualora fossero vittima di un attacco. E il 69,8% non ha alcuna consapevolezza di aver subito attacchi di recente.
Si concede il BYOT, ma senza adeguata protezione
Le conseguenze di questa impreparazione si manifestano in modo drammatico soprattutto durante gli attacchi di ransomware, che sfruttano spesso falle di sicurezza legate alla cattiva gestione degli accessi o all’uso di dispositivi non aziendali per il lavoro. Proprio da questi usi impropri di dispositivi non aziendali derivano spesso attacchi informatici gravi. La prassi molto diffusa, quella del BYOD (Bring Your Own Device), può esporre le PMI a rischi enormi: nelle PMI fino a 500 dipendenti è consentito in media al 40% del personale. In assenza di una politica rigorosa e di controlli adeguati, questi dispositivi possono fungere da vettore di attacco, favorendo la diffusione di malware all’interno della rete aziendale.
Necessaria la formazione continua
Un altro tema cruciale emerso nel dibattito è la necessità di una formazione continua per il personale delle PMI, soprattutto in un ambito come la cyber security, che è in costante evoluzione. Per altro, la recente norma NIS2 impone la formazione continua. “Stiamo progettando per il 2025 sia un corso di perfezionamento, con tematiche più tradizionali come i penetration test e le tecniche di difesa dagli attacchi informatici, sia un ciclo di eventi formativi mirati alla formazione del personale delle PMI”, ha spiegato Mirco Marchetti, Professore Associato presso il Dipartimento di Ingegneria “Enzo Ferrari” dell’Università di Modena e Reggio Emilia, anticipando l’intenzione di proporre soluzioni educative che vadano oltre i confini dell’istruzione accademica standard. Questi eventi formativi mirano a coinvolgere il personale delle PMI a vari livelli, affrontando tematiche che spaziano dalla sensibilizzazione al fattore umano, alla gestione della sicurezza e alle problematiche tecnologiche.
La collaborazione tra università e imprese
L’importanza di una collaborazione tra università, Camera di Commercio e imprese è stata più volte ribadita durante l’incontro, come elemento chiave per una gestione condivisa della sicurezza informatica. In particolare, l’università e gli enti locali stanno lavorando insieme per promuovere un’offerta formativa che vada al di là dell’aspetto tecnologico e accademico. “Stiamo lavorando a un’offerta formativa che vada oltre l’aspetto accademico, coinvolgendo esperti di grandi aziende per fornire linee guida e tutoraggio alle PMI”, ha precisato Marchetti, mettendo in evidenza come l’esperienza pratica maturata in grandi aziende possa portare benefici concreti anche alle realtà di piccole dimensioni.
Questo approccio è orientato a creare una base di conoscenza pratica e applicabile che possa essere trasferita alle PMI, colmando le lacune nella conoscenza e nella gestione delle pratiche di sicurezza informatica. La formazione non si limita quindi alle competenze tecniche, ma si estende alla gestione organizzativa e alla riduzione dei rischi umani, attraverso pratiche di social engineering e strumenti che migliorino la capacità di risposta alle minacce.
CLICCA QUI e guarda in streaming Rapporto Clusit 2024 Security Summit
CLICCA QUI per scaricare il Rapporto Clusit 2024