Le PMI alle prese con i cyber risk

La pandemia da Covid-19 è stata un acceleratore per la digitalizzazione delle PMI. Tuttavia, la crescente adozione di soluzioni digitali da parte delle piccole e medie imprese ha aperto la strada a un maggiore rischio di incidenti informatici. Ormai estremamente frequenti, possono colpire qualsiasi impresa indipendentemente dal settore di appartenenza, impattando sia la continuità operativa dell’azienda sia la sua reputazione, con ripercussioni dal punto di vista economico.

In risposta a un contesto di sempre maggiore incertezza, le piccole e medie imprese stanno progressivamente aumentando la centralità della cybersecurity: lo testimonia il fatto che la sicurezza informatica, dopo essersi attestata sul gradino più alto del podio per le grandi imprese, è balzata al primo posto tra le priorità di investimento nel 20211 anche per le piccole e medie imprese.

Tuttavia, come evidenziato dall’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, esiste un divario tra il bisogno percepito, da un lato, e gli investimenti e le risposte strutturali approntate dalle aziende, dall’altro.

Sono infatti ancora poche le PMI che allocano budget dedicato alla sicurezza informatica, spesso invece annegato in un generico budget IT. Dal punto di vista delle competenze, a differenza delle grandi imprese, solo nel 13% dei casi è presente una figura di riferimento per la sicurezza informatica all’interno delle piccole e medie imprese, con la responsabilità affidata a uno o più decisori d’area o addirittura all’imprenditore. Un terzo elemento di allarme arriva poi dalla formazione in materia di sicurezza informatica, con poco più di una PMI su tre che implementa iniziative di formazione, rischiando che permanga una bassa consapevolezza sul tema tra i propri dipendenti.

Cosa si può fare, quindi, per permettere alle PMI di avere un approccio strategico e più attento verso le tematiche della sicurezza informatica?

In primo luogo, bisogna promuovere cultura e competenze digitali di base, soprattutto nelle imprese più piccole e artigiane, coinvolgendo tutti i lavoratori, dall’imprenditore ai dipendenti. A tal fine, è necessario migliorare la comunicazione tra le diverse figure, evitando di utilizzare un linguaggio troppo tecnico per far comprendere i potenziali rischi cyber legati all’attività quotidiana di ciascun utente aziendale.

In secondo luogo, è necessario rendere più efficace proprio la formazione, lavorando sulla componente esperienziale. Per sensibilizzare gli utenti aziendali, infatti, è necessario che gli attacchi informatici vengano percepiti come un “rischio tangibile”. Per far sì che questo avvenga, è possibile ricreare situazioni in cui l’organizzazione possa sperimentare in ambiente controllato cosa significhi essere esposto a un attacco informatico, toccandone con mano il reale impatto sull’azienda.
Portare come riscontro un assessment in termini numerici dei danni economici a cui l’azienda potrebbe andare incontro se vittima di un incidente è sicuramente utile ai fini di una maggiore sensibilizzazione sul tema.

Infine, il vero passo in avanti si potrà avere quando si riuscirà a far comprendere che la sicurezza informatica è un elemento trasversale per l’azienda e costituisce una leva gestionale attraverso la quale porre basi solide per l’intero processo di digitalizzazione. Per far questo è necessario uno sforzo collettivo maggiore che coinvolge, oltre alle PMI, i provider tecnologici e le diverse categorie di professionisti con cui vengono instaurate collaborazioni, con il fine di generare una contaminazione positiva in termini competenze e sensibilità.

1Fonte: Osservatorio Digital Transformation Academy (2021)