Al via il progetto di Cyber Risk Self – Assessment. L’iniziativa promossa da Unindustria, in particolare dalle tre Sezioni IT, Sicurezza e Comunicazioni, è stata presentata dal Dott. Gianfilippo D’Agostino, vicepresidente di Unindustria con delega alla trasformazione digitale, nel corso del Consiglio di Presidenza del 24 settembre.

Obiettivo del progetto è di valutare il livello di sicurezza ed esposizione delle PMI ai rischi cyber, stabilirne i fabbisogni in termini generali e aumentarne consapevolezza e capacità di tutela del patrimonio aziendale.

Le PMI sono l’asse portante dell’economia nazionale ed europea, ma possono costituire al contempo un anello debole in termini di sicurezza, attaccabili da più fronti. Con l’aumento dell’uso di strumenti informatici da parte di ogni tipo di PMI, la digitalizzazione dei servizi e dei processi produttivi, si allarga il perimetro di attacco, cresce l’esposizione ai rischi informatici ed al cyber risk e diventa essenziale per ogni azienda garantire adeguati livelli di sicurezza informatica.

Da qui risulta necessario ed urgente, al fine di salvaguardare il business dell’impresa, il know-how, la reputazione, i servizi digitali e la sicurezza dei dati dei propri Clienti, avere piena consapevolezza del livello attuale di cybersecurity della propria azienda, al fine di poter raggiungere un livello di protezione adeguato ed in linea con gli standard internazionali.

Il gruppo di lavoro è stato aperto e coordinato da Poste italiane, che ha lavorato con aziende e università, ottenendo la “collaborazione scientifica” del Laboratorio nazionale di Cybersecurity del CINI oltre che del Campus Biomedico di Roma. Hanno poi contribuito alla realizzazione del progetto anche altre aziende associate ad Unindustria, quali: ENEL, TIM, Almaviva, BT, GFX, Teleconsys, Tecnologie e Comunicazioni – Automatic Control.

L’attività principale ad oggi è stata nella predisposizione e nella diffusione di uno strumento di autovalutazione per le imprese. Ma l’approccio utilizzato nella metodologia di analisi si compone di 3 fasi operative:

  1. CYBER SECURITY SURVEY:

compilazione di una checklist a cura della PMI, in modalità anonima

  1. CLUSTERING E VALUTAZIONE STATO DI SICUREZZA:

categorizzazione in tre livelli di maturità e valutazione del livello di rischio (critico – sensibile ma non organizzato – avanzato) della PMI  tramite l’analisi dei risultati della survey, con risultato immediato in modalità «risk radar»

  1. ANALISI DEI DATI E ACTION PLAN:

analisi dei dati e focalizzazione sulle problematiche delle PMI, al fine di fornire supporto e piani di intervento mirati, volti a innalzarne il livello di sicurezza.

Il test è stato somministrato ad un campione 117 di aziende delle tre sezioni di Unindustria (IT, Sicurezza e Comunicazioni) che hanno lavorato alla predisposizione del questionario, per verificare una prima efficacia.

La “risposta” è stata positiva e l’obiettivo ora è quello di estendere la compilazione del test anche agli altri associati, e valutare la possibilità di somministrarlo anche all’esterno.

Il dato che emerge nelle quattro tipologie di dimensioni aziendali (micro impresa – piccola impresa – media impresa – grande impresa) è che il livello di sicurezza cresce all’aumentare della dimensione aziendale e contestualmente all’aumentare della dimensione dell’azienda diminuisce la variabilità, ovvero mentre nelle microimprese ci sono sia aziende estremamente a rischio che estremamente tutelate, nelle grandi imprese il range di sicurezza è 59-97% (più stabile e quindi meno variabile).

La microimpresa dimostra di avere un importante gap rispetto alle imprese di grandi dimensioni, che risultano essere più mature in termini di sicurezza al rischi cyber.

16 Ottobre 2019