Secondo una ricerca di Kaspersky in Italia un quarto dei manager IT considera che spesso in azienda non sia chiara l’importanza strategica delle attività mirate alla cybersecurity. Commissionato ad Arlington Research, il report ‘Real talk on cybersecurity: cosa preoccupa, cosa manca e cosa è davvero utile?’ ha coinvolto decision-maker, il cui ruolo riguarda in modo significativo la sicurezza, e che lavorano per aziende con meno di 500 dipendenti in diversi Paesi europei, inclusa l’Italia.
La tutela della cybersecurity è un lavoro a tempo pieno
Il 25% dei responsabili IT italiani ritiene che i propri colleghi C-level non comprendano l’importanza della cybersecurity per il business, evidenziando una discrepanza strutturale tra priorità dei vertici e protezione delle PMI italiane. In Italia un terzo dei decision maker responsabili della cybersecurity afferma che monitorare le potenziali minacce rappresenta un lavoro a tempo pieno. Il 33% dichiara di essere sommerso dagli avvisi, mentre il 10% sostiene di dedicare più tempo alla risoluzione dei problemi ai software di sicurezza che alla difesa dalle minacce reali. Il 12% segnala che le soluzioni di sicurezza rallentano i flussi di lavoro o la produzione.
Ostacoli che si stanno già traducendo in rischi concreti per il business. Il quadro è chiaro: lo sforzo è elevato, ma l’impatto resta limitato. A complicare la situazione, alcuni decision maker nel campo della cybersecurity segnalano che le stesse soluzioni di sicurezza possono persino rallentare i processi operativi.
Cybersecurity: le minacce sono reali, così come la lotta con i C-Level
Il problema è reale, poiché le minacce mettono in evidenza le sfide ancora da affrontare. In alcuni contesti PMI europei, backdoor (24%), trojan (17%) e ‘not-a-virus:Downloader’ (16%) risultano tra le minacce più diffuse. Le carenze in termini di competenze e leadership aumentano l’esposizione alle minacce, evidenziando una discrepanza tra le priorità dei dirigenti e le procedure di sicurezza applicate in prima linea.
In Italia, il 25% dei responsabili IT afferma che i colleghi C-Level non comprendono appieno l’importanza della cybersecurity. Il 17% segnala una carenza di specialisti qualificati. Quindi la maggior parte delle PMI si affida a team IT generici (22%) o a specialisti di sicurezza informatica integrati all’interno di questi team (25%).
L’esposizione ai rischi non è sempre percepita
Appena il 42% delle aziende italiane dispone di un team dedicato esclusivamente alla sicurezza informatica, e solo il 12% si affida unicamente a partner esterni per progettazione e gestione della cybersecurity. Paradossalmente, il livello di soddisfazione interna risulta molto elevato. Infatti il 93% dichiara di essere soddisfatto degli esperti di sicurezza informatica interni, il 77% dei reparti IT in generale, l’80% dei team interni dedicati alla sicurezza. Questo suggerisce un divario significativo tra la percezione delle prestazioni e l’effettiva esposizione ai rischi.
Comprendere la rilevanza della cybersecurity per il business
Cesare D’Angelo, General Manager Italy, Mediterranean & France di Kaspersky Quello che emerge non è una carenza di strumenti, ma una mancanza di coerenza. I segnali arrivano più velocemente delle decisioni, quindi i processi di controllo e i flussi di lavoro si scontrano tra loro. E non è più chiaro a chi spetti la responsabilità proprio nel momento in cui sarebbero necessari passaggi chiari dal rilevamento all’azione. In molte PMI, la sicurezza quotidiana è affidata a team IT generalisti o a singoli specialisti; solo il 42% delle aziende dispone di un team dedicato alla cybersecurity. Questa fragilità è evidente in ogni fase e in ogni processo di escalation.
La conseguenza è un’esposizione silenziosa: il triage rallenta, il contesto si perde e i problemi che sembrano tattici si accumulano fino a diventare rischi strategici. I decision-maker devono agire subito e fornire ai team di sicurezza strumenti, soluzioni personali adeguati. Soprattutto, devono comprendere la rilevanza della cybersecurity per il business e colmare il divario strutturale tra le priorità del board e la protezione sul campo.
Come affrontare la mancanza di know-how e di strategia
Kaspersky consiglia ai leader aziendali e alle imprese di:
trasformare i piani di sicurezza informatica in una protezione concreta. Kaspersky Next per le PMI integra una protezione avanzata degli endpoint con le funzioni EDR ed XDR. Offrendo così visibilità in tempo reale, risposta alle minacce e la trasparenza necessaria per rendere operativa la strategia di sicurezza. Per le PMI con un’infrastruttura IT consolidata, Kaspersky Next XDR Optimum estende l’integrazione e la telemetria per una risposta basata su playbook.
Garantire protezione anche con risorse IT limitate. Kaspersky Small Office Security offre una sicurezza semplice da implementare e professionale. Questo previene perdite finanziarie, furti di dati e ransomware senza la necessità di competenze interne.
Investire in awareness e formazione. Kaspersky Automated Security Awareness supporta le PMI con moduli di apprendimento scalabili e specifici per ruolo per ridurre al minimo i rischi quotidiani.
Integrare e promuovere la resilienza informatica. Adottare un approccio incentrato sulla sicurezza che integri responsabilità, processi e controlli nelle operazioni quotidiane.
