Kaspersky ha pubblicato i risultati del report “Real Talk on Cybersecuity: cosa preoccupa, cosa manca e cosa è davvero utile?” e i risultati sono preoccupanti.
La maggior parte dei decision-maker che si occupano di cybersecurity nelle piccole e medie imprese (PMI) in Europa non è adeguatamente preparata a proteggere le proprie aziende. Il 68% degli intervistati in Italia, dichiara di seguire una strategia solida più nella teoria che nella pratica o di limitarsi a raggiungere solo alcuni obiettivi. Inoltre, molti ammettono di avere carenze anche nelle conoscenze base sulla cybersecurity: il 32% dichiara che dovrebbe comprendere meglio come rispondere e risolvere gli incidenti informatici. Questa mancanza di strategie e competenze pratiche impedisce a molte aziende di garantire una protezione reale e le rende vulnerabili agli incidenti informatici.
Le PMI in Europa non dispongono delle conoscenze adeguate e di una strategia coerente per proteggersi. In Italia, solo il 25% dichiara di avere implementato una strategia di sicurezza informatica completa. Nel complesso, il 68% degli intervistati ammette di aver implementato solo in parte la propria strategia, prevalentemente in maniera teorica, o di non avere un vero e proprio piano, ma solo una serie di obiettivi. In Italia, il 38% afferma infatti che, sebbene la propria strategia sia stata pianificata, non è ancora stata completamente implementata, mentre il 30% si sta impegnando per raggiungere una serie di obiettivi piuttosto che perseguire una strategia vera e propria. Questi risultati evidenziano una diffusa discrepanza tra lo sviluppo della strategia e l’implementazione operativa, un divario che probabilmente si traduce in debolezze strutturali nelle operazioni quotidiane di sicurezza informatica delle PMI.
Attacchi in Europa e il comportamento dei leader aziendali: qualcuno è consapevole delle esigenze delle PMI?
Questa mancanza di strategie concrete emerge anche dall’ultima analisi degli attacchi in Europa condotta da Kaspersky. Da gennaio ad aprile 2025, l’Italia ha registrato il 25% di attacchi effettuati in tutta Europa, in cui software potenzialmente indesiderati (PUA) e malware che imitano brand legittimi hanno preso di mira le PMI; seguono Germania (11%), Spagna (10%) e Portogallo (6%). L’Austria ha registrato, invece, la percentuale più alta (40%).
Queste statistiche sottolineano che, senza dubbio, esiste un divario tra strategia e implementazione. Questo diventa ancora più evidente se si considera la scarsa fiducia dei leader aziendali nelle proprie conoscenze e strumenti di cybersecurity. Ad esempio, il 32% delle PMI in Italia desidera comprendere meglio come ottimizzare le proprie capacità di risposta e risoluzione in caso di incidente informatico e circa un terzo (27%) vorrebbe sapere se la propria protezione endpoint è sufficientemente solida per gestire le minacce odierne. In Italia, le aziende desiderano o necessitano di comprendere meglio:
- Quali dei numerosi strumenti disponibili sul mercato sono effettivamente necessari (22%)
- Come garantire la visibilità del cloud e le valutazioni delle vulnerabilità (18%)
- Le regole e i requisiti normativi applicabili alle proprie aziende (18%) Di conseguenza, considerando che il 25% degli intervistati in Italia dubita che le descrizioni dei rischi fornite dai fornitori riflettano realmente la realtà di un’azienda delle loro dimensioni, sorge spontanea la domanda: qualcuno sa davvero come proteggere la propria attività?
I consigli di Kaspersky
Per affrontare la mancanza di know-how e di strategia, i leader aziendali e le aziende dovrebbero adottare la seguente misure:
- Trasformare i piani di sicurezza informatica in una protezione concreta.
- Garantire protezione anche con risorse IT limitate: le aziende molto piccole possono raggiungere un livello di protezione professionale.
- Investire in awareness e formazione: fornire programmi di formazione specifici e attuare iniziative di sensibilizzazione sulla sicurezza a tutti i livelli dell’azienda per ridurre al minimo il rischio di incidenti interni
- Integrare e promuovere la resilienza informatica: adottare un approccio incentrato sulla sicurezza all’interno dell’azienda, creando una cultura che consenta ai dipendenti di mitigare efficacemente le minacce emergenti nelle attività quotidiane.
Dichiarazioni
“I decision maker che si occupano di cybersecurity nelle PMI spesso seguono strategie apparentemente valide sulla carta, ma che nella pratica non funzionano, perché prive delle misure operative concrete necessarie per resistere agli attacchi odierni. Dalla nostra ricerca emerge che due terzi di loro non hanno ancora messo in pratica queste misure in modo efficace, lasciando le PMI sempre più esposte ad attacchi. Per colmare questa carenza, le aziende devono definire strategie di cybersecurity non solo chiare, ma completamente integrate nelle strutture, responsabilità e decisioni quotidiane. Per migliorare la sicurezza, le PMI devono passare dalla teoria alla pratica, colmare le lacune di conoscenza essenziali e costruire una strategia di sicurezza informatica coerente che sia integrata nelle operazioni quotidiane, non limitata a documenti isolati o misure non coordinate”, ha affermato Cesare D’Angelo, General Manager Italy, Mediterranean & France di Kaspersky.
