Imprese e cybersicurezza: in Italia si va indietro e non in avanti
La crisi economica che ha tagliato i budget, la presenza di molte pmi ancora non attente ai rischi informatici, la mancanza di compliance con le direttive in vigore. Quale ruolo per i consiglieri indipendenti nell’aiutare le pmi a fare un salto di qualità e a proteggere meglio il loro business
Credit: Hugo Barbosa/Unsplash
Le aziende italiane sono ancora indietro in termini di sicurezza informatica. O meglio: gli investimenti verso uno degli attuali fattori di rischio maggiori aumentano ma di poco. Gli ultimi dati che fotografano in modo sistemico la situazione sono quelli raccolti nell’Osservatorio Cybersecurity & Data Protection 2021 della School of Management del Politecnico di Milano. Mostrano come nel 2020 siano cresciuti solo del 4% per un totale di 1.370 milioni di euro di giro d’affari mentre nel 2019 erano aumentati dell’11% (1.317 milioni), nel 2018 del 9% (1.190 milioni di euro), nel 2017 del 12% (1.090 milioni).
Nel 2020, insomma, quello che avrebbe dovuto essere uno dei settori di tutela maggiori su cui investire, ha subito un brusco rallentamento degli investimenti: anche a causa della pandemia da Covid-19, infatti, il 19% delle aziende ha ridotto questa voce di spesa. Allo stesso modo solo il 40% degli imprenditori la ha accresciuta (era il 51% nel 2019) mentre l’attività degli attentatori è cresciuta: +45% nello stesso anno.
IL NODO DELLE PMI
Come è fisiologico, sono le realtà minori quelle che hanno maggiormente tirato i remi in barca. Le grandi aziende (complici anche i maggiori rischi cui sono sottoposte) hanno per lo più continuato a tenere alta l’attenzione. Ma le pmi hanno faticato a tradurre la percezione del rischio (che pure hanno) in operatività concreta per limitarne i danni. Solo il 22% ha previsto investimenti in sicurezza per il 2021, mentre il 20% li aveva previsti ma ha dovuto ridurre il budget a causa della crisi economica dovuta alla pandemia, mentre un buon 25% non ha neanche pensato di accantonarli.
L’analisi dell’Osservatorio va abbastanza in profondità. Evidenzia come il budget di cybersecurity venga destinato soprattutto alla sicurezza delle reti (33%), ovvero all’infrastruttura, e agli end point (23%), ovvero alla parte finale di contatto con l’utente esterno (potenziale hacker). Seguono poi la messa in sicurezza dei dati (14%), del cloud (13%) e delle applicazioni (12%).
“Il 2020 è stata una vera e propria odissea, con un aumento senza precedenti degli attacchi informatici, la necessità di riorganizzarsi per gestire l’improvviso boom dello smart working e la razionalizzazione del budget a disposizione per affrontare le sfide di sicurezza a causa del grave impatto economico della pandemia” ha affermato in una nota del Politecnico di Milano Alessandro Piva, Direttore dell’Osservatorio Cybersecurity & Data Protection. D’altra parte “il mercato italiano della cybersecurity è ancora limitato in rapporto al PIL, con un’incidenza di appena lo 0,07% nel 2019, circa 4-5 volte in meno rispetto ai paesi più avanzati. E dalla ricerca emerge anche la necessità di rafforzare il presidio delle normative, anche considerando le sanzioni comminate dalle Autorità competenti” ha aggiunto Gabriele Faggioli, Responsabile scientifico dell’Osservatorio.
LA COMPLIANCE
Anche perché una delle criticità principali è proprio quella della compliance con il quadro normativo europeo in materia di data protection e cybersecurity con l’entrata in vigore, in particolare, del GDPR, della direttiva NIS e del Cybersecurity Act. In Italia è stato adottato il “Perimetro di sicurezza nazionale cibernetica” ma sono moltissime le reticenze da affrontare e da superare.
Chi ha la responsabilità di portare le imprese a compiere le scelte più giuste? Non solo (e non sempre) l’imprenditore che è a monte dell’azienda. È il consiglio di amministrazione, coadiuvato dai consiglieri indipendenti, a dover tenere sempre alta l’attenzione, l’operatività e la corretta gestione del tema della cybersicurezza in funzione proprio di una maggiore compliance con le normative in vigore, e della tutela del business.
Esistono best practice nazionali e internazionali a cui far riferimento nella gestione dei ruoli volti a limitare i danni degli hackeraggi informatici, che vedono anche la costituzione di un comitato specifico all’interno del consiglio con personalità con competenze di rilievo sulla materia. Oggi lo stimolo continuo a prendere in seria considerazione l’investimento nella difesa da ciò che è diventata la principale fonte di rischio per il mondo delle imprese è una delle responsabilità maggiori dei Ned insieme a quella della sensibilizzazione e attuazione della conversione sostenibile del business.
