Cybersecurity e PMI? «da anni andiamo avanti, e in parte comprensibilmente, con la logica della paura, dello spauracchio dell’hacker… i numeri e quello che continua a capitare però ci dicono che non solo non funziona ma è ora di cambiare passo, con decisione».
Maura Frusone è una giovane manager ma con alle spalle una lunga e multiforme esperienza nel cuore del mercato ICT, dal marketing alle vendite fino ad arrivare alla guida italiana di una divisione chiave nel motore che alimenta un multinazionale come
Kaspersky ovvero l’SMB, small and medium business o, ancora meglio, Piccole e medie imprese.
L’Italia insomma, da Milano a Palermo isole comprese, il tessuto industriale, produttivo ed economico simbolo di un Paese da sempre, non a caso, alle prese con una cronica difficoltà nel percepire il valore dell’innovazione tecnologica e in particolare del digitale e, ancora più in particolare, della sicurezza. I numeri sono storicamente sconfortanti e negli ultimi due anni ancora di più. 2018 e 2019 infatti, analisi Clusit alla mano, sono stati il biennio peggiore di sempre, in Italia, dal punto di vista della cybersecurity e dei danni arrecati proprio alle Piccole imprese.
Le tecniche di attacco? Le più facili, le più conosciute, le più banali, a partire al Phishing, cresciuto, a ottobre 2019, di oltre il 100% sul 2018. Il motivo di una simile tendenza? Ancora più semplice, le PMI sono appunto “piccole” hanno risorse e competenze ridotte così come tempo, ulteriormente ridotto, da dedicare proprio al digitale e alla sicurezza. E allora? Da anni il mondo ICT e della comunicazione che ruota intorno proprio all’innovazione digitale sta provando a scuotere il mercato con la vecchia e sempre solida tattica della paura: “attento all’hacker”, “oggi gli hacker sono super evoluti”, “usano l’intelligenza artificiale”, “attento alle multe del GDPR”…
Tutto vero, in parte e tutto comprensibile se non fosse per un fatto. Numeri alla mano, non funziona. E allora che si fa? Abbiamo provato a chiederlo proprio a Maura Frusone che, come detto, di mestiere vive a contatto diretto proprio con le PMI. Maura lavora in una multinazionale che proprio sulla trasformazione della sicurezza da minaccia in vantaggio ha appena completato, con grande successo,
un roadshow sul territorio in collaborazione con Lenovo, Veeam e un distributore a valore come V-Valley. Tre tappe, decine di partner incontrati e la sensazione, netta, di avere imboccato la, non facile, strada giusta. Ma andiamo con ordine.
Maura che cosa è la security per una PMI?
«Marco l’avvio di questo confronto mette in luce subito un aspetto molto pratico della modalità con cui ragiona una PMI ovvero….Se la PMI non ha fatto esperienza di un attacco informatico, come un fermo computer, un data base violato, una infezione attraverso mobile o un altro tipo di minaccia particolarmente ricorrente su questo segmento di mercato, la Security rappresenta un mero costo di cui l’azienda non comprende fino in fondo la validità. Quindi direi che la Security per le PMI è ancora oggi percepita come un costo non una linea di difesa necessaria per garantire la produttività dell’azienda sul mercato».
Ma cosa si aspettano le PMI dalla sicurezza?
«Chiariamoci prima di tutto di cosa parliamo quando parliamo di PMI: innanzitutto parliamo di aziende con un numero di dipendenti che vanno da 1 fino a circa 100/200 dipendenti.
Come vedi si tratta di un target molto eterogeneo fatto da liberi professionisti, studi professionali, il segmento retail e in generale i servizi. Il dato statistico ci dice che in questa dimensione di azienda c’è un gap di conoscenza/skill e una forte mancanza di presidio di personale IT qualificato che possa indirizzare le esigenze dell’impresa su scelte tecnologiche anche fondamentali.In questo contesto la PMI chiede ai prodotti di adattarsi alle loro difficoltà e contesto, quindi chiede facilità di uso, procedure di download del software semplici, senza marcate esigenze di set-up di console dedicate. Insomma cercano un software che possa aggiornarsi con la massima semplicità richiedendo il tempo minimo per l’aggiornamento degli applicativi sui vari device, mobile, desktop e server.
Se poi proviamo a guardare ad aziende maggiormente strutturate che hanno personale IT qualificato… allora la Security diventa una piattaforma strategica a cui chiedere performance, nessun appesantimento delle prestazioni, massima protezione da malware, ransonware, affidabilità.
Ultimo ma non ultimo, con la rivoluzione digitale è aumentata la pressione nella ricerca di un fornitore che sappia garantire un dialogo costante e “prossimo” sul territorio, attraverso un canale che abbia sviluppato le competenze adeguate. Un ecosistema di partner in grado di parlare la lingua dell’impresa, del manager e sappia trarre il massimo dalla linea di difesa dei software Kaspersky».
«Lo step successivo – c
ontinua Maura Frusone - è il dialogo con aziende con team di Security che hanno competenze ancora più verticali, ma si tratta di aziende che possiamo già definire di taglio Enterprise, siamo dunque nel mondo che Confindustria posiziona dai 500 dipendenti in su. Tagliando una linea chiara, posso dire che i Software Kaspersky sono stati studiati proprio per venire incontro a strutture organizzative e di competenze molto diversificate così com’è il mercato delle aziende italiane. Per ogni segmento di clientela abbiamo individuato dei prodotti che pur garantendo elevatissime prestazioni possono adattarsi al meglio ai clienti, con prodotti in cloud e prodotti on premise.
Ma cosa non sta funzionando con la gestione di dati e le informazioni critiche da parte delle PMI?
«Credo che oggi ci sia molta più percezione del passato rispetto alla criticità dei dati a alla loro tutela, questo anche grazie al GDPR.Ciò che forse non è ancora così evidente è che la mancanza di cultura della cybersecurity all’interno delle aziende può essere il primo vettore di vulnerabilità gravissime.
Qui c’è un tema chiaro di consapevolezza legata ai comportamenti delle persone/dipendenti che possono superficialmente creare degli spazi di manovra che il cybercrime può sfruttare, come per esempio l’apertura di un file malevolo, una mail di phishing (
minaccia, non a caso, in crescita di oltre il 100% in Italia nel 2019, dati Clusit ndr.), la condivisione di password d’accesso ai sistemi informativi o l’utilizzo di applicazioni aziendali da mobile non protetti da specifica protezione.
Ricerche commissionate da Kaspersky, insieme ad altri dati provenienti dal mercato, ci dicono che il 50% delle vulnerabilità avviene per un comportamento superficiale o inconsapevole da parte di un dipendente.Credo che su questo punto sia necessario correre ai ripari al più presto, poiché i cambiamenti nei comportamenti sono quelli più difficili da avviare soprattutto nelle aziende italiane dove l’età media dei dipendenti è ancora molto elevata».
Perché la strategia della cyber paura con le PMI ha fallito che cosa non ha funzionato?
«L’idea che si è diffusa è che la PMI non è il target per un cyber attacco perché le informazioni gestite non sono rilevanti ovvero non hanno un valore economico. Ma questo percepito non è assolutamente corretto, nell’economia dei dati e del dark web una certa tipologia di informazioni ha sempre un proprio valore.Altro punto di attenzione è spesso il fatto che la PMI può essere anche un veicolo per raggiungere un’azienda più grande soprattutto se l’azienda è parte di una supply chain più articolata.
Caso tipico nel mercato italiano, denso di PMI appunto di cui molte facenti parte di indotti e catene composte da grandi multinazionali.Anche qui la riflessione da parte di chi sviluppa tecnologie di cybersecurity è quella di cercare di parlare in maniera semplice con le aziende, chiarendo gli ambiti di rischio che devono affrontare e aumentando i giri su come prevenire piuttosto che curare».
Facile a dirsi ma non semplice nel concreto… in Italia, come si trasforma la sicurezza in un vero elemento critico di competitività?
«Le minacce sono aumentate in maniera esponenziale negli ultimi anni, Kaspersky rileva circa 375.000 nuove tipologie di malware al giorno contro 1 virus al secondo nel 2011; ciò vuol dire che non è questione di chiedersi se le aziende verranno colpite da un attacco informatico ma quando accadrà.
In quel momento dovranno essere pronte a proteggersi perché altrimenti avranno un impatto finanziario ed operativo sulla gestione del business. Mitigare un attacco e correre ai ripari vuol dire investire risorse su risorse qualificate, formazione del personale quindi maggiori costi e soprattutto interrompere la gestione operativa con minori ricavi.
Difendere i propri sistemi informativi significa avere un’arma di prevenzione a supporto della competitività sul mercato. Sono questi i punti su cui insistere con forza nel dialogare con le imprese, da qui non si scappa»
E passiamo al canale, l’ecosistema che ha proprio il compito di portare sul territorio questo nuovo verbo della security. Quali partner cerca Kaspersky per affrontare la sfida di una nuova sicurezza per le PMI?
«Stiamo cercando dei partner che sappiano cogliere l’esigenza che arriva dal mercato delle PMI… Come appena descritto servono realtà in grado di dialogare con aziende con competenze limitate a livello di sicurezza e con esigenze basic in termini di protezione. Stiamo cercando e sviluppando sempre più un canale di partner che possano svolgere una funzione di ruolo
“trusted advisor” nell’ambito IT.
Realtà insomma che possano farsi carico completamente della gestione e della protezione delle PMI e che riescano a far percepire
l’effettivo valore dell’outsourcing in concomitanza di budget e risorse limitate.
Ecco perché siamo sempre più interessati al mondo dei
Managed Service Provider (MSP).
Per molte imprese, un MSP rappresenta la naturale estensione del proprio team IT (in alcuni casi costituisce di fatto il team IT a cui si affida l'azienda): spesso colma le lacune in termini di competenze e risorse interne, per garantire che le operazioni IT procedano agevolmente e con successo. Un numero estremamente interessante è quello indicato da Gartner: da qui al 2022 il mercato dei servizi cloud sarà triplicato e di conseguenza si prevede una
sensibile crescita del mercato dei servizi IT gestiti (dagli attuali 180,5 miliardi $ ai 282 miliardi attesi nel 2023.
Il
tasso di crescita annuale previsto è del 9,3%). Non è una questione superficiale… si tratta ormai di un tema comune in tutta Europa, con i Paesi Bassi decisamente all'avanguardia nell'esternalizzazione della sicurezza informatica (45%). Seguono la Svezia (39%) e l’Italia (39%)».
Tra le motivazioni favorevoli all’outsourcing qui di seguito trovate il dettaglio.