È stato presentato oggi il primo Rapporto Cyber Index PMI, l’indice che misura lo stato di consapevolezza in materia di rischi cyber delle aziende di piccole e medie dimensioni, e che ha l’obiettivo di promuovere la diffusione della cultura digitale tra le aziende.
Cyber Index PMI, realizzato da Generali e Confindustria, con il supporto scientifico dell’Osservatorio Cybersecurity e data protection della School of Management del Politecnico di Milano, e con la partecipazione dell’Agenzia per la Cybersicurezza Nazionale, monitora e analizza nel tempo il livello di conoscenza dei rischi cyber all’interno delle organizzazioni aziendali e le modalità di approccio adottate per la gestione dei rischi.
Cyber Index PMI è derivato da una valutazione su tre diverse dimensioni: l’approccio strategico, la capacità di comprendere il fenomeno e le minacce (identificazione), l’introduzione di leve per mitigare il rischio (attuazione).
Indice degli argomenti
Il nuovo Cyber Index PMI
Il dato principale che emerge dal Rapporto è la necessità di una maggiore diffusione e promozione della cultura dei rischi cyber tra le organizzazioni aziendali di piccole e medie dimensioni. Le 708 PMI coinvolte nel Rapporto raggiungono complessivamente un valore di medio di Cyber Index a 51 su 100 (il livello di sufficienza è 60 su 100).
Il Rapporto evidenzia come, seppure ci sia una crescente attenzione sulla materia, manchi un vero e proprio approccio strategico che preveda la definizione di investimenti e la formalizzazione di responsabilità da parte della popolazione aziendale italiana, con un punteggio medio di 54 su 100. Sebbene le leve di attuazione siano maggiormente sviluppate, con un valore di 56 su 100, le PMI hanno difficoltà nello stabilire priorità, perché mancano le azioni di identificazione corrette che permettano di approcciare il tema in maniera più oculata e consapevole, punteggio medio di identificazione 43 su 100.
Quattro livelli di cyber maturità per le PMI italiane
I rispondenti, rappresentativi dell’intera popolazione di PMI italiane, possono essere raggruppati in 4 livelli di maturità:
• il 14% è considerato maturo: ha un approccio strategico alla materia, è pienamente consapevole dei rischi ed è in grado di mettere in campo le corrette leve di attuazione con iniziative che riguardano persone, processi e tecnologie
• il 31% può essere definito come consapevole: è in grado di comprendere le implicazioni dei rischi cyber, ma con una capacità operativa spesso ridotta per poter mettere in campo le corrette azioni
• il 35% è informato: non pienamente consapevole del rischio cyber e degli strumenti da mettere in atto, si approccia al rischio cyber in modo «artigianale»
• il 20% può essere definito principiante: poco consapevole dei rischi cyber e con una quasi nulla implementazione delle misure di protezione
Il Rapporto non registra rilevanti differenze territoriali mentre il livello di maturità delle imprese è correlato con la dimensione aziendale: da un valore medio di 43 per le micro-imprese, a uno di 53 per le piccole e fino a 61 per le medie.
Sicurezza informatica da aggiornare sempre
Ecco altri numeri e risultati dal rapporto: il 58% delle PMI manifesta un’attenzione concreta attraverso un budget stanziato per la sicurezza informatica della propria azienda: tuttavia, nella maggior parte dei casi rientra nel più ampio investimento destinato all’IT, solo il 17% ne prevede uno ad hoc.
In termini di mitigazione del rischio, il 57% ha una dotazione tecnologica per il monitoraggio delle anomalie; il 41% prevede contromisure per limitare l’esposizione degli utenti aziendali a rischi informatici, attraverso un’azione sul fattore umano, ovvero tramite policy comportamentali o iniziative di formazione degli utenti; infine, il 17% delle aziende intervistate ha già sottoscritto una soluzione assicurativa dedicata, mentre il 29% non è a conoscenza delle possibilità di copertura del rischio cyber.
Il roadshow di Confindustria e Generali per la cyber sicurezza
Se è vero che parte delle PMI italiane hanno compreso bene l’importanza della sicurezza informatica e si stanno attrezzando per affrontare uno scenario in continua evoluzione, le aziende che hanno dimensione ridotta complicano il percorso nel suo insieme. C’è ancora, infatti, una quota significativa di aziende che faticano a gestire il rischio in maniera oculata e che ne sottovalutano i potenziali impatti. È necessario dunque un cambio di mindset rispetto alla gestione dei rischi cyber che deve essere interpretata come fattore abilitante della trasformazione digitale.
Nell’ottica di aumentare la conoscenza su temi di rischi cyber e di attacchi informatici per le imprese, sono previsti incontri di formazione e workshop su base territoriale. Gli esperti di Generali e la rete agenziale coinvolgono, con la loro consulenza di valore, le imprese associate a Confindustria, per garantire una maggior consapevolezza dei rischi legati alla crescente digitalizzazione e per proteggere le imprese dal crimine informatico.
La seconda tappa dell’iniziativa, dopo quella di Venezia Mestre, sarà il 26 ottobre a Parma e, nel corso dei mesi, proseguirà nel corso dell’anno coinvolgendo Firenze, Torino, Genova, Milano, Perugia e Bologna. Per promuovere la cultura del cyber risk al grande pubblico, a partire da novembre sarà inoltre pubblicato sulle principali piattaforme audio il primo podcast di Generali Italia a tema Cybersecurity.