Cybersecurity, non tutti passano dalle parole ai fatti

Di Cybersecurity si parla da tempo e molte imprese lo considerano un tema centrale per proseguire la propria attività in condizioni ottimali. l?Osservatorio ASUS Business condotto con Research Dogma rivela che ben l?83% delle PMI riconosce la sicurezza informatica come una priorità strategica. Quando però si passa ai fatti, ovvero ad azioni concrete per mettere in sicurezza dati e sistemi aziendali si scopre che solo il 55% di esse ha adottato strumenti e strategie adeguate a protezione dei suddetti.

Si tratta di una situazione molto insidiosa dato che negli ultimi tre anni quasi la metà delle PMI (47%) ha subito almeno un evento critico legato alla sicurezza informatica e il 20% ha affrontato più di un episodio rilevante. E non si tratta solo di attacchi dei cybercriminali - che coprono circa due terzi degli eventi segnalati - ma anche situazioni causate da guasti o eventi esterni non criminosi ma che hanno portato a blocchi delle operazioni delle imprese. Famoso in tal senso il caso CrowdStrike che nel luglio 2024 ha causato danni per miliardi di dollari. A tutti questi si sommano i casi - non molti, si parla del 5% degli eventi - in cui le aziende hanno subito furti non di dati ma di beni fisici come laptop, server o altri dispositivi aziendali, ma che hanno comunque avuto conseguenze sulla sicurezza.

Dai dati raccolti emerge un elemento rilevante, ovvero il fattore umano. Dopo un attacco ben il 68% delle PMI ha registrato un impatto significativo sulle persone, con una riduzione della produttività nel 53% dei casi. Ma soprattutto colpisce che nel 15% degli eventi siano stati i dipendenti a causare o amplificare l'evento. Come? Commettendo errori nell?utilizzo degli strumenti informatici, con la mancanza di attenzione ai tentativi di phishing e con la gestione inefficace delle password. A fronte di ciò - e si ripropone il tema visto all'inizio sul passare dalle parole ai fatti - solo il 35% delle PMI ha avviato programmi strutturati per educare i dipendenti alla sicurezza informatica: tutte le altre hanno lasciato i dipendenti privi di competenze essenziali per proteggere i dati aziendali.