Cyber awareness in aumento tra le aziende italiane, ma non basta

Nonostante tra le imprese del Paese sia aumentata la consapevolezza verso i rischi informatici e si stiano diffondendo misure assicurative, è necessario fare di più sia nella mitigazione dei rischi sia nella formazione delle persone.

E’ quanto emerge dall’indagine condotta dall’Università di Verona in collaborazione con ANRA e Riesko su 274 imprese italiane per indagare quattro aree fondamentali: la percezione e la consapevolezza del cyber risk, la valutazione del rischio (quindi le attività di identificazione, misurazione e valutazione), le misure di prevenzione e mitigazione e la Risk Governance.

Nell’ultimo biennio le aziende di tutto il mondo hanno dovuto attivare velocemente un processo di digitalizzazione, anche per effetto della maggiore diffusione del lavoro da remoto. Ciò ha reso più vulnerabili molti asset e processi aziendali e le organizzazioni si sono trovate a gestire sempre più un incessante e massivo incremento di attacchi informatici.

Secondo l’ultimo rapporto del Clusit, nella prima metà del 2021 l’Italia ha registrato 36 milioni di eventi malevoli, in forte aumento rispetto allo stesso periodo dell’anno precedente (+180%). Tale trend è in controtendenza rispetto allo scorso anno dove queste numeriche sono state raggiunte solo alla fine dell’anno.

Eppure, nonostante queste statistiche, poco più della metà delle aziende intervistate dispone di un piano di mitigazione, mentre solo il 49% ha adottato un programma di formazione strutturato sul cyber risk.

Il sondaggio ha mostrato come nelle imprese italiane ci sia un buon livello di consapevolezza dei rischi informatici: il 72% dei rispondenti afferma di avere una buona conoscenza del rischio cyber e della sicurezza informatica, ed è molto alta anche la percentuale (70%) di chi sostiene di avere una buona conoscenza dell’impatto che la sicurezza informatica può avere sulla continuità operativa. Quando si scende più nel dettaglio degli standard le aziende si mostrano meno sicure: si ferma al 45% la quota di chi afferma di possedere una buona conoscenza degli Standard di Sicurezza “ISO/IEC 270001 e 270002”, del cyber security framework NIST o delle linee guida ISA/IEC 624432.

L’indagine ha voluto sondare anche la conoscenza e la diffusione delle soluzioni assicurative. Ne è emerso che il 64% delle imprese italiane utilizza con continuità soluzioni e servizi di sicurezza informatica di terze parti (provider esterni specializzati, Managed Security Service Provider) e il 58% afferma di possedere una buona conoscenza dei prodotti assicurativi disponibili sul mercato per il rischio cyber.

Il 74% delle imprese ritiene il rischio cyber un tema chiave e lo classifica principalmente come rischio dei sistemi IT e tecnologico (45%), rischio operativo (22%) o rischio strategico (14%). Le vulnerabilità maggiori risiedono nei computer portatili (74%), nei web server (69%) e nei dispositivi personali collegati alla rete aziendale (67%) e sono principalmente dipendenti dagli errori umani, secondariamente dall’utilizzo di programmi e/o sistemi operativi obsoleti e da un inadeguato controllo degli accessi. Nonostante ciò, solo il 49% delle imprese adotta processi strutturati di formazione per il rischio cyber, e il 70% vi destina meno del 15% del budget totale dedicato alla formazione aziendale.

Nell’ultimo anno, il 43% delle aziende è stata vittima di malware, il 40% di frodi online o phishing e il 20% di attacchi hacker come Denial of Service o furto di credenziali. Le conseguenze più pesanti si misurano in termini di perdita di dati (danno alto o medio-alto per il 17% delle imprese), interruzione o ritardo nella produzione o nell’erogazione di servizi (danno alto o medio-alto per il 14%), danni alla reputazione e perdite di fatturato e/o clienti (entrambi costituiscono un danno alto o medio-alto per l’8% delle aziende).

Nonostante la diffusione sempre maggiore del cyber risk, solo il 55% delle aziende italiane ha un piano formale di mitigazione, e tra queste il 64% adotta soluzioni offerte da provider esterni, senza un adeguato supporto interno.

Le aziende coinvolte nel sondaggio erano per il 58% grandi imprese, nel 22% piccole realtà e nel restante 20% organizzazioni di medie dimensioni. Il settore predominante (32%) è quello Finanza / Assicurazioni, seguito dall’Informatica ed Elettronica (24%), Industria manifatturiera (9%), Attività commerciali (7%) e Pubblica amministrazione (6%).