Dieci miti da sfatare sulla cybersecurity delle PMI
Il settore della sicurezza ha ritenuto, probabilmente ingiustamente, che le piccole e medie imprese sottovalutassero l’importanza della cybersecurity. Il report “La sicurezza è grande anche nelle piccole imprese”, basato su un sondaggio condotto su circa 500 PMI (definite come organizzazioni con un organico compreso fra 250 e 499 dipendenti), rivela che non solo la sicurezza viene tenuta in grande considerazione, ma che il loro approccio innovativo e imprenditoriale dà anche i suoi frutti.
È arrivato il momento di sfatare alcuni miti sul modo in cui le PMI utilizzano le loro risorse di cybersecurity. Vediamoli insieme.
Lo scorso anno il 59% delle PMI ha divulgato di propria iniziativa la violazione più significativa che ha subito (rispetto al 62% delle imprese più grandi). Questo suggerisce che le imprese più piccole mostrano serietà e impegno nei confronti di clienti e partner.
Inoltre le PMI chiamate a rispondere ai clienti sul modo in cui gestiscono i loro dati superano nettamente quelle che non ricevono richieste in tal senso. Il 74% delle PMI ha ammesso di aver ricevuto richieste di questo tipo dai clienti in essere e potenziali (un dato vicino al 73% delle imprese più grandi).
Osservando i dati a disposizione si nota che lo scorso anno, in occasione della violazione più grave, il 24% delle PMI ha dovuto affrontare interruzioni di oltre otto ore. Il dato si colloca leggermente al di sotto delle grandi imprese, che registrano un 31%.
Queste cifre dimostrano che nelle PMI il personale addetto alla sicurezza è più numeroso di quanto si immagini. Ma allora il problema della mancanza di esperti in cybersecurity nelle PMI è risolto?
No, non possiamo arrivare a tanto. Le PMI hanno ammesso che la mancanza di personale qualificato occupa il quarto posto fra le sfide che si trovano ad affrontare. Il problema principale sono i limiti di budget; seguono la compatibilità con i sistemi legacy e infine la coesistenza di altre priorità a pari merito con la mancanza di personale qualificato.
È vero che le PMI non hanno infrastrutture aggiornate come le imprese più grandi (il 54% delle quali dichiara di essere molto aggiornato, contro il 42% delle PMI). Tuttavia, il 94% delle PMI dichiara di aggiornarsi regolarmente o costantemente. Quindi, di certo la stragrande maggioranza non continua a usare le vecchie apparecchiature fino a quando diventano obsolete e quindi insicure. Piuttosto cercano di sfruttare al meglio ciò di cui dispongono, senza inseguire a ogni costo qualsiasi novità.
Le scoperte su quali minacce siano più dannose sono interessanti: il ransomware non discrimina. Sia per le PMI sia per le grandi imprese, il ransomware è la minaccia con maggiori probabilità di mettere fuori uso i sistemi. Raramente il DDoS ha un grosso impatto nelle aziende più piccole. Al contrario, il phishing viene segnalato come un grosso problema per le piccole aziende.
Anche il furto di credenziali sembra essere un problema importante per le PMI, e lo scorso anno ha causato in media 17-24 ore di interruzione.
Anche se i livelli di maturità possono differire dalle imprese più grandi a causa delle minori risorse a disposizione, i nostri dati suggeriscono che le PMI riconoscono il valore della cybersecurity e stanno adottando un approccio proattivo nei suoi confronti.
I nostri dati mostrano che il 90% dei decision maker IT delle PMI dichiara di conoscere bene il programma aziendale per la privacy dei dati, rispetto al 91% delle aziende più grandi; la differenza è minima.
In secondo luogo, l’84% delle piccole e medie imprese obbliga il personale a una formazione sulle questioni della sicurezza; si tratta di una percentuale appena inferiore rispetto alle organizzazioni più grandi.
Infine, l’87% dei dirigenti delle PMI concorda nel dire che la sicurezza sia una priorità assoluta. Si tratta di soli tre punti percentuali in meno rispetto alle imprese più grandi.
I dati raccolti indicano che le imprese e le organizzazioni con un organico tra 500 e 999 dipendenti hanno le maggiori probabilità di subire un incidente a causa di una vulnerabilità nota; le PMI, invece, sono più efficienti nel rimediare alle vulnerabilità note.
I dati del nostro sondaggio hanno mostrato che la differenza nell’uso di metriche chiare è minima, indipendentemente dalle dimensioni dell’organizzazione. Questo in parte può dipendere dall’evoluzione delle soluzioni di cybersecurity nel corso degli anni; le migliori sono progettate per fornire indicatori molto chiari dei loro riscontri e del loro significato, così da semplificare le segnalazioni.
In sintesi, i dati raccolti dimostrano che le PMI prendono sul serio la sicurezza nella pianificazione strategica e nelle operazioni quotidiane. Ma è pure vero che ogni giorno le aziende si trovano ad affrontare nuove sfide. E per le PMI, la pressione per mantenere e far crescere il business è amplificata. Se a questo si aggiunge una forza lavoro che sempre più spesso opera da remoto e in mobilità, ci sono le condizioni per non dormire sempre sonni tranqulli.
Vi rimando a questa pagina per la lettura completa del report, dei dati raccolti e per indicazioni e risposte più specifiche.
Tags:
