Fabio Buccigrossi, Country Manager di ESET Italia, illustra i dettagli dell’ultimo ESET Digital Security Sentiment Report 2022 sulle PMI.

L’ultima edizione del report analizza l’approccio alla cybersecurity adottato dalle Piccole e medie imprese dei vari settori di appartenenza, evidenziandone i fattori di rischio.

Mentre i rilevamenti delle minacce continuano ad aumentare, il crescente divario di competenze in materia di cybersecurity lascia le aziende esposte. Si tratta di un problema particolarmente sentito dalle PMI, costrette a ridurre le spese a causa dell’attuale clima economico.

Per questo motivo, abbiamo recentemente intervistato oltre 700 PMI di diversi settori per verificare la loro capacità di rilevare e affrontare le più recenti minacce informatiche. Le differenze sono nette. Mentre alcuni settori hanno una grande fiducia nelle proprie competenze interne in materia di cybersecurity, altri preferiscono esternalizzarne la gestione affidandola a un esperto per assicurarsi una protezione idonea.

Di seguito il dettaglio per settore.

Servizi aziendali e professionali

I dati suggeriscono che oltre un quarto (26%) delle PMI operanti nel settore dei business e professional services ha scarsa o nessuna fiducia nelle competenze interne in materia di cybersecurity. Poco meno di un terzo (31%) ritiene insufficiente la comprensione delle minacce più recenti da parte dei propri team. Inoltre, un terzo (33%) afferma di avere difficoltà a determinare la causa principale di un attacco informatico.

Quasi 4 PMI su 10 (38%) nella categoria dei servizi aziendali e professionali gestiscono la propria sicurezza internamente, un numero leggermente superiore alla PMI media (34%). Poco più della metà (54%) preferisce invece esternalizzarla. Tuttavia, un ulteriore 8% si sta muovendo per affidare all’esterno entro i prossimi 12 mesi la gestione della propria cybersecurity.

Solo il 24% delle PMI operanti nel settore preferisce mantenere la gestione della sicurezza in-house, il dato più basso di tutti i comparti presi in esame. Poco più di un quarto (26%) sceglie di affidarsi a un unico fornitore di sicurezza e il 40% a più provider.

Servizi finanziari

Quasi 3 PMI su 10 (29%) operanti nel settore dei servizi finanziari non hanno fiducia nelle competenze interne in materia di sicurezza informatica. Un numero ancora maggiore (36%) non ritiene sufficiente la comprensione delle minacce da parte dei propri dipendenti. Tuttavia, solo il 26% delle PMI del settore si ritiene non idoneo a determinare la causa di un attacco informatico, meno della media delle PMI (29%).

Solo il 28% delle PMI del comparto gestisce la propria sicurezza internamente, il dato più basso di tutti i settori analizzati. Quasi due terzi (65%) la esternalizzano, molto più della media delle PMI (59%). Poco più di un quarto (26%) preferisce mantenere la gestione della sicurezza in-house. Lo stesso numero preferisce demandare a un unico provider, mentre il 39% preferisce affidare la propria sicurezza a più fornitori.

Industria manifatturiera e industriale

Un terzo (33%) delle PMI del settore manifatturiero e industriale ha scarsa o nessuna fiducia nelle competenze interne in materia di cybersecurity, molto più della media delle PMI (25%). Quattro su 10 (40%) ritengono insufficiente la comprensione delle minacce alla sicurezza da parte dei propri dipendenti, più di qualsiasi altro settore. Tuttavia, solo il 29% teme di avere difficoltà a determinare la causa di un attacco informatico. Solo 3 PMI su 10 (30%) gestiscono la sicurezza internamente. Più del doppio (63%) preferisce invece esternalizzarla, il secondo dato più alto tra tutti i settori.

Un terzo (33%) delle PMI del settore preferisce mantenere la gestione della sicurezza informatica all’interno dell’azienda, la percentuale più alta di tutti i settori. Solo il 24% sceglie di affidarsi a un unico fornitore, mentre il 35% si rivolge a più provider.

Retail, vendita all’ingrosso e GDO

Quattro PMI su cinque (80%) operanti nel settore del commercio al dettaglio, all’ingrosso e della GDO hanno una fiducia discreta o elevata nelle competenze interne in materia di cybersecurity, la più alta di tutti i settori. Anche le aspettative rispetto alle competenze del team IT sono di gran lunga superiori a quelle riscontrate nel settore manifatturiero (67%).

Tre quarti (74%) delle PMI hanno una fiducia moderata o elevata nella comprensione delle minacce alla sicurezza da parte dei propri dipendenti, rispetto ad appena il 64% delle PMI dei servizi finanziari. Allo stesso modo, il 79% delle PMI del settore confida nella propria capacità di determinare la causa di un attacco.

Oltre 4 PMI su 10 (41%) gestiscono internamente la propria cybersecurity, la percentuale più alta di qualsiasi altro settore. Per questo motivo, solo il 53% esternalizza attualmente la propria sicurezza. Tuttavia, il 6% intende farlo nel prossimo anno. Circa 3 PMI su 10 (31%) operanti nel settore mostrano una preferenza per la gestione interna della sicurezza. Lo stesso numero preferisce affidarsi a un unico fornitore, mentre un altro 28% si rivolge a più provider.

Tecnologia e telecomunicazioni

Un quarto (25%) delle PMI operanti nel settore IT e TLC non ritiene sufficienti le competenze interne in materia di sicurezza informatica, anche se il 78% ha una fiducia discreta o alta nella comprensione delle minacce alla sicurezza da parte dei propri dipendenti. Più di tre quarti (77%) confidano nella loro capacità di determinare la causa principale in caso di attacco. Forse non sorprende che un numero maggiore di PMI del settore (37%) gestisca la propria sicurezza informatica in-house rispetto alla media delle PMI (34%). Tuttavia, sono più numerose quelle che esternalizzano la propria sicurezza rispetto alle aziende del settore retail (58% contro 53%).

Tre PMI su 10 (31%) preferiscono mantenere la gestione della sicurezza all’interno dell’azienda. Il 23% sceglie invece di affidarsi a un unico fornitore e il 36% a più provider.

Un falso senso di sicurezza per le PMI?

Le PMI che adottano un approccio di cybersecurity management in-house possono cadere nell’errore di sovrastimare il proprio livello di protezione. Quando si opta per una strategia di questo tipo, si raccomanda di effettuare regolari controlli di sicurezza da parte di terzi e di creare e aggiornare regolarmente le policy di sicurezza.

Il Digital Security Sentiment Report 2022 di ESET mostra chiaramente la direzione in cui le crescenti esigenze di sicurezza stanno mandando le PMI. Il 32% delle aziende intervistate ha riferito di utilizzare l’endpoint detection and response (EDR), l’XDR o l’MDR e il 33% sta pianificando di sfruttare questa tecnologia nei prossimi 12 mesi.

Con la maggioranza delle PMI operanti nei settori IT e TLC (69%), manifatturiero e industriale (67%) e dei servizi finanziari (74%) che preferiscono esternalizzare le proprie attività di sicurezza, una domanda che rimane elusa da questo sondaggio è: quali tipi di aziende specifiche in questi settori verticali stanno dando la priorità al mantenimento della gestione interna e perché?