Investire in sicurezza conviene: AIPSA conta i costi dell’insicurezza

della Redazione

Catastrofi naturali, attacchi cyber, supply chain: ecco dove PMI e grandi imprese devono investire per evitare danni (ed ottenere benefici) milionari. Questa la sintesi dell’indagine AIPSA - Associazione Italiana dei Professionisti della Security Aziendale e TEHA– The European House Ambrosetti, che incrocia i livelli di rischio di ogni potenziale attacco con i danni ai fatturati che potrebbe determinare su aziende di differenti dimensioni.

L^’indagine ha coinvolto circa 200 professionisti della Security associati ad AIPSA, che operano in aziende attive in oltre 20 settori, rappresentative del tessuto imprenditoriale nazionale, con un fatturato complessivo che supera i 700 miliardi di euro. Secondo gli intervistati, sono tre le priorità sulle quali investire per proteggersi: minacce sui dati (35%), violazioni della sicurezza fisica (27%), attacchi ransomware (26%). 

I costi dell’insicurezza

Le minacce cyber che secondo gli intervistati hanno un maggior potenziale di impatto sono rispettivamente ransomware (0,87% del fatturato), attacchi alla supply chain (0,82% del fatturato) e minacce sui dati (0,69% del fatturato). Tra le minacce fisiche si segnalano le catastrofi naturali che, se si concretizzano, pesano per lo 0,68 % del fatturato. Il ransomware è il principale fattore di rischio per le imprese con fatturato inferiore a 1 miliardo di euro l’anno. Ma l’incidenza dei danni che può provocare è esponenziale a seconda del fatturato:

55mila euro sulle realtà con fatturato fino a 50 milioni di euro l’anno; 900mila euro per chi fattura fino a 250 milioni l’anno; 7,8 milioni di euro per fatturati fino a 1 miliardo l’anno. Diverse le preoccupazioni per le imprese medio grandi con fatturati tra 1 e 10 miliardi di euro l’anno: la minaccia più probabile e devastante è quella degli eventi meteo avversi, capaci di pesare per 34 milioni di euro. Ma la percezione diffusa è quella di non avere strumenti per mettere in sicurezza il business contro queste minacce. Cambia ancora lo scenario per le multinazionali con fatturati oltre i 10 miliardi. La debolezza della supply chain è la maggior preoccupazione, anche perché un attacco può determinare danni per 345 milioni di euro.

I benefici della sicurezza 

Ma quanto conviene per un’azienda investire per ridurre il rischio di una minaccia alla sua sicurezza? Il beneficio atteso cambia ovviamente in funzione della dimensione aziendale. 

Per un’azienda tra i 50 e 250 milioni di fatturato, ridurre il livello di rischio di un attacco Ransomware del 10% determina un beneficio di circa 100.000 euro. Mentre per realtà una che fattura oltre 10 miliardi, la riduzione dell’10% del rischio che la supply chain subisca un attacco, ha un beneficio atteso di oltre 30 milioni di euro. 

Investire in sicurezza conviene

In sostanza, investire in sicurezza conviene. Purché si sappia in che direzione farlo – sottolinea il presidente di AIPSA, Alessandro Manfredini. E continua: “Le imprese devono prendere coscienza del fatto che i loro livelli di sicurezza incidono su quelli del sistema Paese. Non solo perché i servizi che erogano ai cittadini sono servizi di interesse generale, ma perché spesso le imprese sono titolari di dati personali, asset e risorse che incidono in modo sensibile nella vita quotidiana dei cittadini. Noi abbiamo deciso di mettere nella disponibilità degli imprenditori una bussola utile a indirizzare gli investimenti nelle aree dove sono maggiori i benefici, anche economici. Ma soprattutto, con questo primo Osservatorio, vogliamo costituire un index utile ad eventuali investitori per distinguere le imprese attente alla loro sicurezza da quelle che non lo sono”.

In generale – conclude Manfredini - i livelli di consapevolezza sono buoni, soprattutto nei grandi gruppi industriali e dei servizi. Tutte le imprese lamentano una carenza di competenze legate alla cyber difesa all’interno dei loro security team. La sensazione è che, nel corso degli anni, si siano moltiplicate le figure dedicate alla governance dei processi, ora occorre investire nelle figure più operative, anche se la compliance normativa continua ad essere sempre più complessa e impegnativa da dover seguire.