Né big tech né propriamente PMI, anche se la “M” starebbe per medie, le imprese che rientrano nella categoria “mid-market” non se la passano molto bene dal punto di vista della sicurezza informatica. Le responsabilità interne non mancano, ma la loro posizione è anche piuttosto “scomoda”, perché non ben definita come le due più estreme. Si tratta infatti di organizzazioni che da un lato non dispongono di budget enormi, ma dall’altro hanno necessità tecnologiche e infrastrutturali che superano quelle “base” tipiche delle piccole realtà imprenditoriali.
A fotografare la crisi delle medie imprese nello scenario di cybersecurity arriva uno studio realizzato da Advania, che coinvolge quasi 1000 responsabili IT “medi”, operanti tra Regno Unito, Svezia, Danimarca, Finlandia, Norvegia e Islanda.
Il “fai da te” vince tra le aziende, ma non sul campo
Se restando nel Nord Europa si spera di trovare maggiore efficienza, per lo meno in questo caso ci si sbaglia. Le strategie di protezione dai rischi informatici che i realizzatori della ricerca hanno trovato sono spesso frammentarie e poco curate.
Quasi metà delle aziende coinvolte (47%) è convinta di potersi difendere contando solo e soltanto su risorse e competenze interne. Quelle che hanno scelto di rivolgersi a esperti esterni sono una su cinque, tutte le altre pensano di sapere il fatto loro. Anche se così fosse, ciò che emerge dallo studio è che nel 55% dei casi finiscono per non mettere in pratica nemmeno le azioni di base per combattere il cybercrime. Si parla quindi di totale assenza di firewall e antivirus, di patch trascurate e di un piano di risposta agli incidenti ancora tutto da scrivere. Solo il 37%, infatti, afferma di averne uno, o perlomeno di starci lavorando in modo concreto.
Dall’esterno è evidente l’alto rischio a cui il mid-market si sottopone. Sembrerebbe quasi una scelta, se non fosse che la ricerca rileva una forte mancanza di consapevolezza. Il 16% dei responsabili IT ammette infatti di non saper dire come la propria organizzazione mantenga la propria postura di sicurezza informatica. C’è anche un 2% che lo sa: è sicuro di non avere affatto una postura di sicurezza.
Per chi ha cercato di entrare nel merito della propria, c’è un problema di responsabilità legato al cloud e ai provider di questo tipo di servizi. Quasi la metà delle aziende che si è posta la domanda, è convinta che siano proprio questi ultimi a essere responsabili in caso di attacco informatico. Il 43% ritiene anche che si occuperanno di coprire le spese per il recupero dei dati oppure, nel 40% dei casi, di rimborsare il costo dell’utilizzo del cloud computing rubato. La percentuale di responsabili IT che sa di essere responsabile della sicurezza della propria organizzazione tra quelli coinvolti risulta essere pari al 3%.
Trascurate da talenti IT e mercato, le aziende stanno ferme
La situazione fotografata nella ricerca è preoccupante e non può essere collegata alla sola mancanza di budget dedicato alla sicurezza. Le sfumature messe in evidenza dai dati denunciano altri problemi non automaticamente indirizzabili al denaro o alla sua assenza.
Un fenomeno molto importante è per esempio il turnover dei talenti, alla base del prosciugamento delle conoscenze informatiche che “impoverisce” le strategie di sicurezza. Le aziende fanno molta fatica a reperire e a trattenere esperti IT, per cui faticano a mettere in atto azioni virtuose su larga scala temporale, anche nel caso vogliano farlo. Solo il 2% delle organizzazioni del mid-market mantiene il personale tech che giudica eccellente per due anni o più. Il 28% riesce a farlo solo per massimo un semestre, un arco di tempo breve per quel cambio di marcia che servirebbe realizzare. C’è poi anche un 10% che ammette di non aver mai assunto professionisti IT eccellenti, non spiegando però le ragioni.
Un’altra criticità con cui il mid-market lamenta di dover fare i conti è l’inadeguatezza dell’offerta da parte dei provider di IT e sicurezza. Quasi la totalità, il 92%, pensa che i fornitori non si impegnino particolarmente per questo segmento, il 31% ritiene che il mercato sia oltretutto plasmato solo sui bisogni delle più grandi.
In uno scenario come quello descritto dalle aziende coinvolte, il mid-market si trova (o si troverebbe) a dover scegliere tra il minore dei due mali. Tra il pagare tanto pacchetti sproporzionati (e inutili) e il dover integrare offerte “misere”, perché non coprono tutti i suoi bisogni. Ne consegue una diffusa carenza di stack tecnologici adeguati che lascia le aziende al fai da te, con qualche linea guida generale che non basta a garantire nemmeno la minima protezione richiesta dal momento.
In questo quadro scoraggiante, si percepisce la tendenza a “sedersi” sulla propria condizione di fragilità e mancanza di spinta, dimenticandosi di guardare avanti, per lo meno alle due sfide del momento. Quella della sostenibilità e quella dell’AI. Il 66% degli intervistati ammette che non c’è formazione interna sull’impatto ambientale del proprio stack tecnologico e l’81% non ritiene che l’AI possa contribuire a migliorare la produttività dell’azienda in cui lavora, temendo anche per la propria proprietà intellettuale (12%). Eppure, un terzo sa di non essere future ready, continuando così, ma sembra non trovi e non conosca modo di lavorare a una vera e propria strategia per cambiare il proprio preoccupante destino.
