A chi si rivolge

1%
dei problemi sulla sicurezza informatica ha impatti gravi sull'azienda
1%
delle aziende teme la chiusura completa a causa di attacchi di sicurezza infomatica
1%
degli intervistati ha riferito di aver subito un incidente di security negli ultimi 5 anni
Perchè le Medie e Piccole imprese hanno bisogno di un CISO?

L’ENISA, l’ente per la cybersicurezza dell’Unione Europea, ha pubblicato il 28 giugno 2021 una ricerca sul campo per comprendere le principali esigenze e criticità delle piccole e medie aziende (PMI) in questo periodo di pandemia, per poter dare le indicazioni sulle misure da adottare e gli elementi a cui fare particolare attenzione.

Oltre l’85% delle aziende interpellate per la ricerca ha dichiarato che i problemi di sicurezza informatica subiti avrebbero un grave impatto negativo sulla loro attività, mentre il 57% ha dichiarato che molto probabilmente potrebbero arrivare alla chiusura in conseguenza a tali gravi incidenti.

[...] imperversa nelle PMI la falsa sicurezza che i controlli sulla sicurezza inclusi nei software e servizi IT che hanno acquistato saranno sufficienti e che non saranno necessari ulteriori controlli di sicurezza da parte loro, a meno che non siano imposti dalla normativa.

[...] il 36% degli intervistati ha riferito di aver subito un incidente di security negli ultimi 5 anni, l’8% degli stessi intervistati ha dichiarato di aver subito un incidente di sicurezza informatica dall’inizio della crisi pandemica; il che indica un forte aumento degli incidenti durante il breve lasso di tempo dall’inizio della crisi.

Le sfide che emergono per le PMI sono le seguenti:

- scarsa consapevolezza della sicurezza informatica tra il personale;

- protezione inadeguata delle informazioni “critiche”;

- mancanza di budget adeguati;

- mancanza di specialisti o capacità adeguate in materia di cybersicurezza;

- mancanza di adeguate linee guida in materia di cybersicurezza specifiche per le PMI;

Domande e "miti" frequenti sulla sicurezza delle informazioni 
Siamo piccoli, non siamo un obiettivo
Forse, ma non sempre è vero

Il drammatico aumento di attacchi ransomware come WannaCry e Petya / NotPetya significa che nessuno è immune dagli attacchi. Inoltre, la crescente connessione degli ecosistemi aziendali digitali espande ed estende i rischi aziendali, quindi anche se la tua organizzazione potrebbe non essere un obiettivo, i tuoi partner potrebbero esserlo.

Non abbiamo niente che nessuno vorrebbe
Le informazioni hanno valore

Potrebbe essere così se la tua organizzazione non avesse clienti, dipendenti, collaboratori, proprietà intellettuale, processi aziendali e azionisti o parti interessate, ma ciò significherebbe anche che non c’è alcuna attività.

Non possiamo permetterci un CISO, quindi incaricheremo l'ingegnere (o l'architetto, l'amministratore o l'amministratore di sistema) della sicurezza
Questa è una soluzione di ripiego

In teoria, questo approccio tattico potrebbe funzionare a breve termine, ma come approccio a lungo termine, ci sarà un'enfasi eccessiva su strumenti e tattiche e non abbastanza su persone e processi.  Ingegneri, architetti e amministratori hanno competenze e responsabilità specifiche per la gestione dei risultati tecnici. 


In pratica, è necessario un ruolo dedicato e focalizzato per guidare il programma di Sicurezza delle Informazioni e garantire nel tempo il passaggio a un approccio più strategico, che deve essere compreso e sostenuto dalla Direzione aziendale.

Non siamo regolamentati, quindi non abbiamo bisogno di un CISO
Si, ma nessuno è immune

Non essere regolamentato non obbliga un'organizzazione ad inserire nell’organico la posizione di CISO: VERO! Tuttavia, ciò non significa che non abbia rischi da gestire come parte del raggiungimento dei suoi obiettivi di business.  


Avere un leader del programma di Sicurezza delle Informazioni con la governance e la visione strategica che apporta, migliora la Sicurezza e la difendibilità in caso di incidenti.