La sicurezza informatica non è più un lusso riservato alle grandi aziende, ma una necessità vitale per tutte le organizzazioni, indipendentemente dalle loro dimensioni. Le PMI, spesso dotate di risorse limitate e competenze specialistiche ridotte, sono particolarmente vulnerabili agli attacchi informatici. Questi attacchi possono avere conseguenze devastanti, compromettendo dati sensibili, interrompendo operazioni aziendali e causando danni economici significativi.
Indice degli argomenti
La vulnerabilità della cybersecurity PMI in numeri
Per dare un’idea del fenomeno, riportiamo i numeri del primo Rapporto annuale sull’evoluzione della cybersecurity realizzato da Assintel – Confcommercio, secondo cui nel 2023 si è registrata una vera e propria impennata dei cyber attacchi a livello globale: rispetto all’anno precedente, l’incremento è stato del 184%, per un totale di 7.068 attacchi rilevati e classificati.
L’Italia, in particolare, ha registrato nel primo semestre del 2023 un preoccupante +85,7% rispetto al trimestre precedente.
Le PMI italiane, soprattutto le microimprese, continuano a rappresentare il bersaglio privilegiato dei cyber criminali, a causa di sistemi di difesa spesso inadeguati. Un dato particolarmente critico, considerata la struttura economica del Paese, fondata in larga parte proprio su questa tipologia di aziende.
Strategie di cybersecurity PMI: un approccio ecosistemico
Purtroppo, il 60% delle PMI che subiscono un attacco informatico chiude entro sei mesi. È quindi ormai di fondamentale importanza che le PMI adottino strategie di difesa cyber efficaci e sostenibili, integrando soluzioni avanzate e collaborando con partner e fornitori per creare un ecosistema di sicurezza robusto e resiliente. Solo attraverso un approccio olistico e interdisciplinare, infatti, è possibile proteggere le PMI dalle minacce informatiche e garantire una trasformazione digitale sicura e sostenibile.
La sicurezza informatica non è semplicemente un prodotto da acquistare, ma un processo complesso che coinvolge diverse aree aziendali, andando oltre la specifica area di Information Security. Non si tratta solo di implementare uno strumento di difesa informatica, ma di trovare un equilibrio tra la sicurezza e la capacità operativa delle organizzazioni, influenzata da fattori come il tempo, la preparazione del personale, i ritorni economici e le tecnologie disponibili.
Adottare nuove strategie di difesa efficienti e sostenibili, con una visione olistica del problema cyber, richiede alle organizzazioni pubbliche e private di considerare le molteplici dimensioni coinvolte e prevedere interventi interdisciplinari e innovativi. Per ridurre al massimo il rischio, è necessario infatti minimizzare le frizioni nell’adozione delle contromisure a livello di governance, tecnologia, costi, processi e persone, comprese le competenze da acquisire, presidiare e mantenere.
La sicurezza informatica, inoltre, richiede sempre più di uscire dai confini aziendali e di essere alimentata da dati provenienti da partner e fornitori. Questo implica una condivisione regolamentata di flussi informativi che descrivono lo stato complessivo di sicurezza informatica dell’ecosistema di attori con cui l’azienda interagisce quotidianamente. Infatti, l’anello più debole determina la robustezza della singola azienda e dell’intero ecosistema di cui fa parte.
Cybersecurity su misura per le PMI: il progetto APPtake
È in questa direzione che si sta muovendo anche l’UE con iniziative di ricerca e innovazione, correlate come i progetti APPtake, Sec4AIsec e CYRUS a cui Cefriel partecipa promuovendo la sinergia tra di essi.
Il progetto APPTake – Uptake of Innovative Application Cybersecurity – è stato avviato nel 2023, avrà durata triennale e vedrà la partecipazione di Cefriel insieme a numerosi partner europei di aziende e università, e andrà a potenziare le capacità di difesa delle organizzazioni, particolarmente le PMI, sia in termini di consapevolezza e competenze che di nuove soluzioni per “fare fronte comune” ai crescenti rischi cyber.
APPTake punta a rendere la cybersicurezza delle applicazioni accessibile e sostenibile per le PMI, consentendo di integrare le soluzioni di sicurezza di sette fornitori in una catena di valore personalizzata e interoperabile che risponde alle esigenze delle PMI europee. Attraverso APPTake si potrà creare un insieme di strumenti di sicurezza informatica, pronti per il mercato, grazie a una rete di connessioni con partner commerciali e clienti in tutta Europa. Saranno cinque gli utenti finali che parteciperanno a cinque progetti pilota in vari settori, tra cui energia, mobilità condivisa, servizi gestiti di sicurezza informatica, pubblicità e marketing online e piattaforme SaaS.
DevSecOps: l’innovazione per la cybersecurity pmi
Il progetto APPTake ha come obiettivo principale la creazione di un portafoglio di soluzioni DevSecOps personalizzate, pensate per aiutare le aziende a prevenire e contrastare le minacce informatiche. DevSecOps è un termine che fa riferimento all’integrazione delle pratiche di sicurezza informatica nei processi di sviluppo e operativi.Questa metodologia rappresenta un approccio alla progettazione delle piattaforme in cui la sicurezza è integrata, e quindi la prevenzione, il rilevamento e le azioni di risposta sono considerate lungo l’intero ciclo di vita della piattaforma, insieme ai normali cicli di sviluppo e operativi.
APPTake nasce quindi dalla necessità di colmare il divario tra le esigenze delle PMI e le soluzioni di cybersicurezza disponibili sul mercato. Molte di queste soluzioni sono progettate per grandi aziende, risultando poco adatte in termini di costi, competenze e risorse richieste. Per affrontare questa sfida, APPTake sta sviluppando un marketplace che metterà in contatto fornitori e imprese che necessitano di soluzioni di cybersicurezza, integrando attività di maturazione delle tecnologie esistenti, piani dimostrativi in settori chiave e strategie di coinvolgimento degli stakeholder, sia online che in presenza.
Per supportare le PMI nell’adozione di tecnologie avanzate, Cefriel, tra i 13 partner europei che lavorano al progetto APPTake, con il coordinamento di Pluribus One sta semplificando l’implementazione di strumenti DevSecOps e migliorando la consapevolezza sui rischi informatici. Questo include l’identificazione di soluzioni specifiche per settori diversi e la progettazione di processi personalizzati per garantire scalabilità e sostenibilità, colmando il divario tra sfide operative e opportunità tecnologiche e fornendo linee guida e strategie pratiche per una cybersicurezza efficace.
Framework OWASP: valutazione della cybersecurity PMI
Il progetto sta inoltre promuovendo l’utilizzo del framework OWASP Software Security 5 Dimension Framework per definire strategie scalabili e adattabili. Il framework OWASP SwSec 5D permette di valutare le applicazioni in modo olistico su cinque dimensioni: sicurezza, conformità, performance, manutenibilità e scalabilità. Grazie a queste valutazioni, le soluzioni finali risultano realmente in linea con le esigenze delle PMI, contribuendo alla creazione di strumenti pratici e facilmente adottabili.
Elemento distintivo del progetto è infatti l’approccio orientato alla profilazione degli utenti finali: le soluzioni proposte saranno progettate per adattarsi alle esigenze specifiche di ogni PMI, garantendo maggiore efficacia e usabilità. Inoltre, APPtake prevede la validazione delle tecnologie attraverso casi pilota in diversi settori industriali, un passaggio cruciale per dimostrare il valore aggiunto delle soluzioni sviluppate nella costruzione di un ponte tra tecnologie avanzate e reali esigenze delle PMI attraverso un approccio che combina innovazione, semplicità e scalabilità per una trasformazione digitale realmente sostenibile.
