Se vogliamo incrementare i livelli di sicurezza del sistema imprenditoriale italiano e, per suo tramite, dell’intero Paese, occorre agire su tre livelli principali.
Indice degli argomenti
Le tre priorità per la sicurezza aziendale italiana
- Definire le priorità di intervento con un monitoraggio sistematico delle minacce cui sono esposte le nostre aziende in grado di fornirci dati, prospettive e scenari circa e soprattutto l’impatto che tali minacce potrebbero avere sulla loro stabilità economica e sui servizi che erogano ai cittadini. Su questa base proporre gli investimenti per la sicurezza secondo una logica di costi benefici.
- Individuare una composizione dei team di sicurezza interni alle aziende che siano in linea con le priorità di rischio e in grado di coinvolgere le altre aree aziendali.
- Sviluppare partnership e collaborazioni tra privati e pubblico-privati nella consapevolezza che nessuno si salva da solo.
L‘Osservatorio Security Risk: uno strumento per misurare il rischio
È questa la premessa ideale da cui AIPSA, l‘Associazione Nazionale dei Professionisti della Security Aziendale e il Gruppo TEHA – The European House Ambrosetti sono partiti un anno fa per sviluppare il primo Osservatorio Security Risk a livello italiano.
Uno strumento che oggi prova ad assolvere alla prima necessità, quella di avere una panoramica numerica il più verosimile possibile, ma che, nel corso dei prossimi anni, ha l’ambizione di trasformarsi in un vero e proprio index, in grado di determinare e comunicare i livelli di affidabilità e sicurezza di ciascuna impresa associata, fornendo così adeguate garanzie ad eventuali investitori e partner in generale.
I dati e le aziende analizzate nel 2024
L’analisi condotta da AIPSA e Ambrosetti nel corso del 2024, ha preso in considerazione una platea di oltre 200 aziende, rappresentative del panorama imprenditoriale nazionale, attive in più di 20 settori produttivi e con fatturato complessivo superiore ai 700 miliardi di euro.
Il risultato è quello di un sistema nel quale non sempre la priorità di intervento coincide con il reale livello di rischio rappresentato da una determinata minaccia.
Non sempre, cioè, si interviene investendo in sistemi di sicurezza in grado di scongiurare gli attacchi che possono impattare maggiormente sui fatturati.
Questo sia per una mancanza di riferimenti nella misurazione del rischio, sia per la scarsa disponibilità di risorse specialistiche da inserire all’interno dei team Security. Sia, in alcuni casi, per una oggettiva difficoltà di investimento.
L‘analisi delle minacce per le imprese italiane
Con l’Osservatorio Security Risk, abbiamo analizzato le principali minacce cui sono esposte le realtà imprenditoriali italiane, incrociando poi i dati ottenuti con la probabilità che questi eventi si verifichino nel corso dell’anno e, infine, con i danni che questi attacchi esterni possono produrre.
Il quadro emerso è piuttosto definito.
Ransomware: la principale preoccupazione e il suo impatto economico
Per le imprese che fatturano fino a 500 milioni di euro l’anno, la preoccupazione maggiore è rappresentata dagli attacchi Ransomware che, come certificano anche gli ultimi dati diffusi dall’Agenzia per la Cybersicurezza Nazionale, anche nel 2024 hanno fatto registrare un ulteriore aumento rispetto al 2023, pari al 20%.
Una preoccupazione che trova riscontro negli impatti medi che questo tipo di offensiva può determinare a livello di fatturati.
Prendiamo due casi limite.
In caso di successo di un attacco ransomware, una piccola impresa italiana che fattura fino a 50 milioni di euro l’anno può subire un danno stimato in oltre 55mila euro.
Se invece le dimensioni del business aziendale salgono a 500 milioni l’anno, ecco che la crescita del danno diventa esponenziale, sfiorando i 7,9 milioni di euro.
Il deficit di competenze cyber nelle aziende italiane
Nonostante la preoccupazione destata da strumenti di ricatto economico come i Ransomware sia sempre più diffusa, altrettanto non si può dire per le competenze necessarie ad affrontarla.
Secondo quanto evidenziato con l’Osservatorio Security Risk, oggi nelle aziende italiane, comprese quelle più grandi con fatturati superiori ai 10 miliardi l’anno, solo un componente dei team security su quattro è in possesso di competenze di cybersecurity di base o avanzate.
La sfida dell’aggiornamento continuo e dell’intelligenza artificiale
La formazione di queste risorse specialistiche richiede anni di preparazione e l’offerta formativa stenta a soddisfare una domanda in costante evoluzione.
Per sua natura, infatti, la sicurezza informatica costringe tutti noi ad alzare l’asticella in maniera sempre più rapida: le evoluzioni in questo settore si misurano in mesi. E questo impone non solo di possedere competenze di base per affrontarle, ma di aggiornarsi continuamente.
Pensiamo ad esempio al tema dell’AI. L’introduzione in azienda di queste tecnologie, vista con gli occhi della sicurezza, ha immediate ricadute sul perimetro da presidiare da parte dei team Security. Allo stesso tempo l’impiego dell’Intelligenza Artificiale nella costruzione degli attacchi cibernetici sta rendendo questi ultimi sempre più numerosi, sempre più sofisticati e soprattutto sempre più economici.
Un’industrializzazione della criminalità cyber che non può più essere trascurata e che va presa di petto.
Verso una collaborazione strategica pubblico-privato
Siamo giunti al terzo bisogno enumerato in partenza, quello di una cooperazione inter istituzionale e intersettoriale. Come detto, infatti, nessuno si salva da solo.
Occorrono iniziative di collaborazione e aggiornamento professionale lungo la supply-chain delle aziende maggiormente strutturate che fungano da catalizzatore per le realtà medio piccole, accompagnandole e supportandole.
Allo stesso tempo occorre un supporto da parte delle istituzioni pubbliche che coinvolga anche il mondo accademico per dare vita a un meccanismo virtuoso del quale, potremmo beneficiare tutti.
