perché le PMI rischiano più delle grandi aziende

Le PMI e le grandi aziende devono affrontare il medesimo scenario cyber, ma spesso l’enorme disparità in termini di budget, risorse e competenze ha un impatto decisivo sulla resilienza alle minacce informatiche. La novità rispetto a questo scenario noto è che Kaspersky ha pubblicato l’IT Security Economics Report 2024 che finalmente offre una panoramica dettagliata sulle effettive differenze nella gestione della cybersecurity tra le realtà di differenti dimensioni. Disparità che si manifestano sotto vari aspetti e che, sebbene comprensibili data la disparità delle risorse in campo, di fatto pongono le PMI in una posizione di maggiore vulnerabilità rispetto alle grandi imprese.

Le disparità di personale

Uno degli aspetti più importanti analizzati dal report riguarda il personale, sia dal punto di vista numerico che di know-how. Mediamente, le grandi aziende dispongono di team dedicati alla sicurezza informatica, composti da professionisti altamente qualificati. Questi team, con gli strumenti a loro disposizione, monitorano in tempo reale e 24 ore su 24 le reti aziendali, implementano misure preventive e rispondono prontamente agli incidenti cyber.

All’opposto, le PMI spesso operano con risorse umane limitate, personale IT che deve gestire una molteplicità di compiti, fra i quali anche la cybersecurity, con una mancanza di specializzazione che può sfociare in una minore capacità di rilevare e mitigare le minacce in maniera efficace. A tale riguardo, i numeri inclusi nel report sono particolarmente indicativi: a fronte di 105 persone mediamente impiegate nell’IT dalle grandi aziende, ce ne sono solo 12 nelle PMI. Nello specifico, nelle grandi imprese 23 di queste sono specializzate in cybersecurity, mentre nelle PMI il numero scende a 4.

Il budget allocato

Il report di Kaspersky rileva inoltre enormi differenze sul fronte degli stanziamenti finanziari: le grandi imprese destinano mediamente alla sicurezza IT un budget di 5,7 milioni di dollari, a fronte di un budget IT complessivo di 41,8 milioni di dollari. Le PMI, invece, veicolano mediamente alla sicurezza IT un budget di 200.000 dollari, rispetto a un conteggio totale di fondi IT di 1,6 milioni di dollari che devono essere distribuiti tra diverse priorità aziendali.

Proprio sui budget emerge un altro problema enorme: molte piccole imprese considerano la cybersecurity un costo piuttosto che un investimento strategico e questo porta a sottovalutare le minacce cyber, aumentando esponenzialmente il rischio in un panorama come quello odierno. Le grandi imprese, invece, sono maggiormente consapevoli dei potenziali impatti degli attacchi informatici e per questo tendono a considerare la sicurezza informatica come una priorità strategica.

Flessibilità e scalabilità

La capacità di adattamento si ricollega direttamente al discorso del budget, perché nel report è evidenziato che le grandi aziende beneficiano di una maggiore capacità di implementare soluzioni di sicurezza flessibili e scalabili, che permettono un maggiore adattamento alle esigenze emergenti e alle nuove minacce. Le soluzioni più moderne si adattano di volta in volta alle mutevoli esigenze delle organizzazioni e includono novità tecnologiche avanzate come per esempio l’AI e l’automazione.

Al contrario, le PMI spesso si trovano a dover scendere a compromessi tra la security e la realtà per la mancanza di quelle risorse finanziarie e umane di cui abbiamo parlato sopra, che di fatto limita la capacità di adattarsi rapidamente per far fronte alle nuove minacce. Restano molti i casi in cui le PMI si affidano a soluzioni di sicurezza di base, insufficienti per proteggersi da attacchi avanzati quali per esempio i ransomware. Inoltre, le grandi aziende hanno la capacità di implementare policy di sicurezza rigorose e di condurre regolari audit per garantire il rispetto degli standard di compliance.

Sfide comuni

Il motivo per il quale questo report è importante è che consente una visione dettagliata delle disparità fra le realtà esplorate, a fronte del fatto che tutte le aziende affrontano le stesse sfide nella ricerca della resilienza informatica, indipendentemente dalle dimensioni. È quindi importante comprendere che, pur tenendo conto dei limiti di budget, oggi è mandatorio adottare un approccio proattivo e una costante evoluzione delle strategie di difesa. Al di là dell’investimento, questo significa predisporre un cambio di mentalità incentrato almeno su due cardini: la cybersecurity non è un costo ma un investimento e dev’essere integrata by design in tutti i progetti.

In secondo luogo, la formazione continua del personale è una necessità, non un optional, perché le persone sono l’anello più debole della sicurezza, ma anche il primo baluardo di difesa aziendale, se ben formate e informate sui rischi e sulle best practice per la gestione degli attacchi.