Quanto sono realmente “sane” le piccole e medie imprese?

Troppo grasso, troppo magro… oppure troppo vanitoso: è nella nostra natura di essere umani soffrire per la diversa percezione, che abbiamo di noi stessi rispetto a come ci vedono gli altri. Dunque, perché per le aziende dovrebbe essere diverso? Specialmente per quanto riguarda la sicurezza informatica, nelle PMI tedesche l’autovalutazione e la valutazione dall’esterno sono sempre più divergenti. Tuttavia, per le aziende ci sono degli ottimi rimedi.

Nelle aziende di piccole e medie dimensioni, la consapevolezza in tema di sicurezza informatica è aumentata. Eppure sono ancora troppe le piccole e medie imprese che non si proteggono adeguatamente dai rischi informatici. Lo dimostra lo studio “Praxisreport 2021/22 Mittelstand@IT-Sicherheit” (relazione sulle PMI in tema di cyber security) recentemente pubblicato dall’associazione tedesca “Deutschland sicher im Netz” (DsiN). Sebbene molte aziende riconoscano inequivocabilmente la propria dipendenza dalla sicurezza informatica e la ritengano un aspetto molto importante, rimane elevata la loro necessità di recuperare terreno e introdurre strategie adeguate.

La pandemia da coronavirus ha posto le aziende di fronte a una sfida: con la rapida e necessaria diffusione del telelavoro, di fatto si sono compiuti enormi progressi in ambito di digitalizzazione. Allo stesso tempo, tuttavia, sono mancate le risorse destinate a garantire la dovuta sicurezza dell’attrezzatura acquistata e delle nuove strutture create. I criminali informatici hanno quindi avuto vita facile rispetto a un passato non lontano, quando non erano ancora così tanti i dispositivi collegati alle reti aziendali, che operavano al di fuori dei confini aziendali protetti.

Dallo studio emerge che, negli ultimi mesi, il 42% è stato interessato da incidenti legati alla sicurezza. Il 5% ha addirittura dichiarato di essere oggetto di attacchi continui. Questi, precisiamo, sono i dati emersi dal rapporto della DsiN. Stiamo parlando quindi del numero di aziende che, innanzitutto, si sono accorte di essere state oggetto di un attacco informatico e che, in un secondo momento, lo hanno reso pubblico. In altre parole: è probabile che il numero reale di aziende attaccate sia molto più alto!

La situazione è aggravata dal fatto che la percezione del pericolo viene continuamente repressa. Molte aziende preferiscono non avere un’evidenza così precisa del proprio rischio: due terzi si limitano ad eseguire una tantum un’analisi dei rischi, oppure ne fanno del tutto a meno. Questo atteggiamento può andare bene, ma non deve essere la regola. Secondo la conclusione attuale dello studio, a causa della pandemia da coronavirus, è sempre più elevata nelle aziende la necessità di ulteriori misure di protezione, ma questa non viene considerata con la dovuta attenzione. Un dilemma.

Secondo l’associazione DsiN, i dati attuali indicano “una crescente volontà da parte di amministratori e dirigenti di assumersi maggiori responsabilità nella gestione dei problemi di cyber security”. Evidentemente si vuole fare di più per la sicurezza. Tuttavia, solo il 16% delle aziende afferma di adottare realmente misure concrete per instillare nell’impresa la cultura della sicurezza informatica. Queste aziende hanno esaminato nel dettaglio la propria strategia relativa alla sicurezza e hanno implementato misure di comunicazione adeguate. Un altro 6% conduce regolarmente dei test con i/le dipendenti. Il resto non è così ligio in tema di sicurezza. Continueranno a sperare che vada tutto bene?

Se si considera come obiettivo che almeno la metà di tutte le aziende adottino le dovute misure, le piccole e medie imprese tedesche non sono ancora sufficientemente sicure. Secondo lo studio, inoltre, c’è molto da recuperare per poter generare una cultura della sicurezza informatica interna all’azienda: dopo tutto, un quarto di tutte le aziende sta rinunciando alle misure essenziali per la formazione dei/delle dipendenti.

Inoltre, lo sviluppo tecnico lascia molto a desiderare. Si assiste a un trend negativo anche in ambito di protezione della posta elettronica. Il traffico intensificato di e-mail in uscita dalla postazione di lavoro domestica dovrebbe, di fatto, tradursi in un maggiore impegno in tema di sicurezza, ma purtroppo così non è. La metà delle aziende non adotta misure di protezione della posta elettronica e indicativamente altrettante consentono l’uso privato e aziendale delle apparecchiature informatiche senza particolari requisiti di sicurezza. Sempre secondo quanto emerge dal rapporto, l’attività di monitoraggio delle misure di protezione dell’home office è addirittura in calo. In questo contesto sembra quasi una buona notizia, che la regolare implementazione degli aggiornamenti software nelle aziende sia “solo” stagnante.

Considerando le crescenti minacce, a cui oggi le aziende di tutte le dimensioni sono esposte, le imprese con un budget limitato dovrebbero adottare quantomeno i provvedimenti essenziali. Ecco alcuni punti di partenza per ridurre al minimo i pericoli e i rischi in modo che le aziende possano continuare a crescere in sicurezza:

1. Scansione delle vulnerabilità: scoprire in anticipo le falle nei sistemi e individuare la necessità di un intervento
2. Software Updates: eliminare regolarmente e tempestivamente le vulnerabilità
3. Backup: eseguire regolarmente il backup dei dati e proteggerli da accessi non autorizzati
4. Fornitore di servizi: rinforzare i sistemi di protezione con il supporto di un professionista esterno
5. Awareness: formare regolarmente i/le dipendenti
6. Piano di emergenza: fare, verificare e, se necessario, correggere un adeguato piano
7. Assicurazione cyber: da stipulare per tempo e con una copertura adeguata

Non si tratta solo di essere più preparati in caso di attacchi hacker o ransomware, bensì anche di tutelarsi in caso di sinistri e di ridurre o azzerare i danni conseguenti. Le prime tre misure possono essere soddisfatte in modo semplice ed efficiente utilizzando una soluzione completa di Endpoint Management System come la baramundi Management Suite (bMS).

Come si è detto, chi sceglie di non prendere alcun provvedimento, può anche essere fortunato e non avere nessun problema. Negli esseri umani, a volte, ignorare una malattia può aiutare e questa, poi, scompare da sola. Nella maggior parte dei casi, però, piuttosto che non fare nulla, è molto meglio eseguire una visita medica e individuare un’eventuale terapia. Per le aziende, l’inazione rasenta la negligenza, dal momento che anche l’esistenza stessa di essere umani dipende da un concetto di sicurezza sana e reale. Le persone, come le aziende, dovrebbero essere acuti osservatori e verificare sempre, se l’impressione che hanno di sé stessi, corrisponde ancora alla realtà.