L’Agenzia per la Cybersicurezza promuove la resilienza informatica tra le PMI italiane

Una serie di iniziative progettate per aumentare la consapevolezza sulla sicurezza informatica tra le piccole e medie imprese italiane ha rivelato un buon livello di adozione di forme assicurative, ma anche una mancanza di preparazione in aree cruciali.

Quasi due terzi delle aziende italiane che hanno partecipato a un recente ciclo di workshop sulla sicurezza informatica ha una polizza assicurativa informatica o è in procinto di sottoscriverla. Anche se un tasso di penetrazione del 64% è positivo in un mercato dominato dalle PMI, tuttavia solo il 33% ha un programma di formazione continua sulla sicurezza informatica e il 34% non ha mai stanziato risorse per attività volte a tale scopo.

Inoltre, meno della metà dispone di un team di crisis management per gestire le conseguenze di una violazione della sicurezza informatica, e più di un quarto (27%) non dispone di sistemi di continuità operativa.

Le statistiche sollevano qualche preoccupazione sul livello di resilienza informatica tra le imprese italiane.

L’Accademia del Cyber, una serie di webinar sulla sicurezza informatica, è stata lanciata dall’associazione italiana dei risk manager Anra e dal broker Willis Towers Watson. L’iniziativa è stata proposta per promuovere la sicurezza informatica e raccogliere feedback dai risk e insurance manager su come migliorare la resilienza digitale.

Recentemente il governo italiano ha creato il Perimetro di Sicurezza Nazionale Cibernetica e l’Agenzia per la Cybersicurezza, prevedendo l’introduzione di misure non solo per 223 organizzazioni cosiddette “critiche” ma anche per tutte le imprese lungo la filiera.

Allo stesso tempo, la pandemia ha portato a un uso massiccio del lavoro a distanza e a una maggiore adozione del digitale, aumentando così l’esposizione delle aziende al rischio informatico e amplificando l’importanza della resilienza informatica.

Anche la cybersecurity potrebbe in prospettiva diventare un requisito fondamentale, visto che la trasformazione digitale è uno dei principali obiettivi del PNRR.

Per le aziende partecipanti all’Accademia del Cyber sono state individuate come metodologie da adottare l’utilizzo di procedure di risk management, la definizione di misure di mitigazione, il monitoraggio degli incidenti informatici e la gestione dei rischi di terze parti.

E nonostante il livello relativamente buono di adozione di coperture possa essere accolto con favore, tuttavia va ricordato che assicurarsi non è sufficiente a costruire una vera resilienza digitale.

I workshop hanno individuato nella formazione dei dipendenti una delle prime aree su cui investire, al fine di creare consapevolezza dei rischi e diffondere l’utilizzo di procedure e strumenti tecnologici adeguati e aggiornati.

Infatti, l’errore umano o la distrazione è la maggiore vulnerabilità secondo il 47% dei partecipanti all’Accademia del Cyber, seguito dall’uso di sistemi di difesa inadeguati (45%). Alla luce di questo dato è ancor più preoccupante che solo un terzo delle aziende italiane preveda una formazione continua sulla cybersecurity, pur riconoscendo l’importanza della consapevolezza dei dipendenti.

Un’altra area in cui è emersa una non sufficiente maturità è quella della continuità operativa e della gestione delle conseguenze secondarie di un attacco informatico, che spesso possono essere più gravi dell’incidente stesso. Il 27% delle aziende coinvolte ha dichiarato di non disporre di sistemi di continuità operativa. Inoltre, la metà (49%) di coloro che ne ha adottato uno ammette di non averlo adeguatamente formalizzato.

Investire in “logiche” di continuità ma non completare quegli sforzi – necessari – che consentono ai sistemi di funzionare nella realtà quando attivati è un’opportunità persa che le aziende dovrebbero cogliere in un’ottica di miglioramento continuo e di resilienza di lungo termine.

Un altro elemento fondamentale per costruire la cyber resilience è la presenza di un piano di gestione delle crisi, con ruoli e procedure codificate che consentano di arginare le conseguenze di un eventuale attacco. Meno della metà delle aziende coinvolte (43%) ha un crisis management team, che nel 44% dei casi non ha mai svolto esercitazioni.

Costituire una struttura organizzativa preposta è il primo passo, ma non è sufficiente. E’ altrettanto indispensabile dotarsi di un programma di esercitazioni che consentano di rispondere in maniera coordinata ad eventuali crisi. Solo un team consapevole, allenato e competente può realmente fare la differenza.

I passi da compiere nella costruzione della cyber resilience sembrano ancora molti, anche se la cultura della conoscenza in ambito cyber sembra espandersi tra le imprese e i professionisti italiani. Lo dimostra la percentuale delle organizzazioni (26%) che ha già svolto un’analisi specifica degli scenari cyber e quelle (35%) che dichiarano di aver fatto delle quantificazioni specifiche o perlomeno delle stime generiche delle massime esposizioni economiche relative agli scenari identificati.