La cybersicurezza è oggi una priorità strategica per tutte le imprese. L’evoluzione normativa, con direttive come la NIS2, insieme a un quadro di minacce in continua evoluzione, impongono standard rigorosi per garantire la protezione dei dati e la continuità operativa. Adeguarsi non è semplice: richiede investimenti, competenze e un cambio di mentalità. Se la sfida riguarda tutti, le piccole e medie imprese sono chiaramente più in difficoltà rispetto alle grandi aziende, che già dispongono di strutture dedicate e processi consolidati.
Fra norme e minacce adeguarsi non è facile
“Le medie aziende e PMI che fino ad adesso non hanno affrontato con un piano strutturato il tema cybersecurity si vedranno costrette ad adeguarsi velocemente alle normative in ambito cyber”, spiega Andrea Andrenacci, CEO di RAD, società italiana di cybersecurity acquisita dal Wind Tre nel 2023. Per le grandi imprese si tratta di aggiornare e rafforzare difese già presenti, mentre per le PMI la strada è molto più difficoltosa: servono procedure, tecnologie e soprattutto competenze. Il problema è aggravato dallo skill shortage, “In Italia le lauree STEM sono solo il 24% contro il 40% della media europea, e i laureati ICT appena l’1,5% contro il 4% europeo”, sottolinea Andrenacci. A questo si aggiunge la fuga dei cervelli che spinge i talenti verso aziende estere e senza capitale umano adeguato il rischio è che imprese italiane si facciano trovare impreparate.
Sfida culturale
La sfida, quindi, non è solo normativa, ma culturale: “Le aziende dovranno abbracciare una filosofia che comprenda la cultura della cybersecurity, diffusa a tutti i livelli e non solo tra gli specialisti”, dice Andrenacci. Ma la cultura richiede tempo, e il tempo è la risorsa più scarsa. Per questo, secondo il CEO di RAD, “una buona soluzione può essere quella di servizi gestiti operati da specialisti di settore”, che consentono alle imprese di concentrarsi sul core business delegando la protezione a chi dispone di competenze e strumenti avanzati.
Digitale e cloud aumentano la superficie di attacco
Il contesto rende tutto più complesso. Negli ultimi anni, l’evoluzione digitale e il cloud hanno ampliato la superficie di attacco, che non si limita più ai confini aziendali ma include fornitori e partner. “Questo, pur favorendo la crescita del business, ha fatto sbiadire i confini del perimetro delle aziende stesse”, spiega Andrenacci. “Gli asset strategici sono ormai dati, informazioni, file: elementi effimeri che viaggiano oltre i confini tradizionali”. La superficie di attacco è quindi l’intero ecosistema di un’azienda, che induce a colpire gli anelli più deboli, ovvero i soggetti con minore maturità cyber. “Il monitoraggio delle terze parti riveste così un ruolo sempre più importante”, aggiunge Andrenacci, e la stessa normativa obbliga anche soggetti prima considerati a basso rischio a rientrare nel perimetro di controllo.
WINDTRE Business approccio multiplo
In questo scenario, WINDTRE Business propone un approccio multiplo. “Da un lato affianca le imprese mature con professionisti specializzati che guidano la trasformazione delle pratiche di difesa; dall’altro mette a disposizione di realtà più piccole servizi gestiti che includono il monitoraggio costante degli attacchi, la formazione del personale e la sorveglianza del perimetro esterno”, spiega Andrenacci. Tutto in modalità “as a service”, portando competenze e best practice direttamente alle aziende. “La nostra filosofia ambisce a migliorare la sicurezza di tutti i profili di aziende, dallo small business alle realtà più strutturate, lavorando su un miglioramento complessivo dell’ecosistema”. In un contesto dove le minacce evolvono rapidamente, le imprese sono sempre più interconnesse e il dark web alimenta nuove forme di attacco, la capacità di modulare le soluzioni cyber in base alle esigenze specifiche diventa fondamentale per garantire una protezione efficace e costante.