La mancanza di preparazione ha un impatto negativo dal punto di vista finanziario
Symantec ha annunciato i risultati della 2011 SMB Disaster Preparedness Survey, che ha analizzato i comportamenti e le abitudini delle piccole e medie imprese (PMI) e dei loro clienti in tema di preparazione in caso di attacchi informatici. I risultati dell’indagine mostrano che nonostante esistano rischi di sicurezza per le PMI, queste non considerano la preparazione contro eventuali minacce tra le loro priorità fino a quando non sperimentano realmente gli effetti di un attacco o la perdita dei dati.
I dati emersi dalla ricerca, inoltre, rivelano che i costi di questa impreparazione sono alti e che le PMI mettono a rischio anche i loro affari. Secondo l’indagine, i downtime non solo comportano un costo di centinaia di migliaia di dollari per le PMI, ma possono causare la perdita di clienti.
“Secondo i risultati della ricerca, le PMI non hanno ancora compreso il grave impatto che potrebbe avere una minaccia informatica sul loro business. Nonostante siano a conoscenza delle minacce possibili, molti pensano ancora che a loro non possa succedere,” ha dichiarato Bernard Laroche, senior director, SMB product marketing, Symantec. “I disastri capitano e le PMI non possono permettersi di perdere le proprie informazioni o – ancora più importante – le informazioni sensibili dei propri clienti. Una semplice pianificazione consente alle PMI di proteggere le informazioni in caso di attacco e a guadagnarsi la fiducia dei clienti.”
Nonostante le segnalazioni, le PMI non sono ancora preparate
I risultati mostrano che molte PMI non comprendono l’importanza della preparazione in caso di minacce alla sicurezza. La metà degli intervistati non ha ancora attuato un piano di disaster recovery. Il 41% ha dichiarato che non è mai stato necessario preparare un piano di questo tipo e il 40% non considera una priorità essere preparati in caso di minacce alla sicurezza.
Questa mancanza di preparazione è sorprendente considerando quante PMI sono a rischio. Il 65% degli intervistati vive in zone soggette a disastri naturali. Negli ultimi 12 mesi, la PMI media ha subito sei interruzioni di servizio, causate soprattutto da cyber attacchi, interruzioni di corrente o disastri naturali.
La ricerca ha rilevato che le informazioni fondamentali della maggior parte delle piccole e medie imprese non sono protette. Meno della metà delle PMI esegue il backup dei dati una volta alla settimana o con maggiore frequenza e solo il 23% lo fa quotidianamente. Gli intervistati hanno inoltre affermato che un attacco informatico potrebbe causare la perdita di informazioni. Infatti, il 44% delle PMI ha affermato che potrebbe perdere come minimo il 40% dei propri dati in caso di attacco.
Le PMI non prendono provvedimenti fino a quando il disastro non è già avvenuto
Secondo i dati emersi dall’indagine, la metà delle PMI che ha messo in atto un piano di difesa contro le minacce alla sicurezza si è attivata solo dopo aver avuto esperienza diretta di un interruzione di servizio e/o della perdita dei dati. Il 52% ha preparato i piani negli ultimi sei mesi. E solo il 28% ha realmente testato i propri piani di disaster recovery, passo fondamentale nella preparazione contro le minacce.
La mancanza di preparazione influenza l’attività delle PMI
Gli attacchi informatici possono avere un significativo impatto economico sulle PMI. Il costo medio di un downtime per le PMI è di circa 12.500 dollari al giorno. Le interruzioni di servizio spingono i clienti ad andarsene – il 54% dei clienti delle PMI che ha partecipato all’indagine, ha dichiarato di aver cambiato fornitore a causa di un servizio di computing inaffidabile, il 12% in più rispetto ai risultati dello scorso anno. Le interruzioni di servizio possono anche compromettere il business delle PMI. Inoltre, il 44% dei clienti delle PMI intervistati ha dichiarato che i propri fornitori hanno chiuso temporaneamente a causa di un attacco.
I clienti delle PMI hanno inoltre affermato di aver subito ripercussioni considerevoli anche sulla propria attività. Le interruzioni di servizio comportano per i clienti delle PMI un costo medio di circa 10.000 dollari al giorno. Oltre ai costi finanziari diretti, il 29% dei clienti di PMI ha perso “alcuni” o “molti” dati rilevanti a causa di un disastro che ha colpito il proprio fornitore.
Raccomandazioni
La ricerca mostra che il 36% delle PMI intende realizzare in futuro un piano di preparazione contro le minacce. Per queste e altre aziende, Symantec consiglia:
• Non aspettare fino a quando potrebbe essere troppo tardi: E’ importante che una PMI non aspetti un attacco informatico prima di pensare al modo per proteggere adeguatamente le proprie informazioni. Non ci sono solo i costi causati da una interruzione di servizio, ma si può arrivare anche alla chiusura definitiva dell’azienda. Le PMI non devono aspettare che sia troppo tardi e dovrebbero iniziare a pensare ad un piano di preparazione in caso di disastri oggi stesso. Un piano dovrebbe prevedere l’individuazione dei sistemi chiave e dei dati che sono indispensabili per l’azienda. In sostanza, deve tracciare le risorse fondamentali.
• Proteggere le informazioni in maniera completa: Per ridurre il rischio di perdita delle informazioni aziendali, le PMI devono implementare delle soluzioni di sicurezza e di backup appropriate per archiviare i file critici, quali i dati dei clienti e le informazioni finanziarie. I disastri naturali, le interruzioni di corrente ed i cyber attacchi possono portare perdite di dati e finanziarie, quindi le PMI devono essere sicure che i file importanti vengano salvati non solo su dispositivi fisici esterni e/o sul network aziendale, ma anche in un luogo off-site sicuro.
• Coinvolgere i dipendenti: I dipendenti delle PMI giocano un ruolo fondamentale nell’aiutare a prevenire i downtime e dovrebbero essere informati sulle regole di base per mettere in sicurezza il proprio computer e su cosa fare nel caso che un’informazione venga cancellata accidentalmente o non possa essere recuperata facilmente tra i file. Se consideriamo che le PMI hanno risorse limitate, tutti i dipendenti dovrebbero sapere come recuperare le informazioni aziendali in caso di disastro.
• Testare frequentemente: Dopo un disastro è ormai troppo tardi sapere che i file sensibili non erano stati sottoposti a backup come previsto dai piani. E’ fondamentale testare la disaster recovery regolarmente. I piani vanno testati ogniqualvolta si verificano delle modifiche nell’ambiente.
• Controllare il piano: Se a causa delle risorse limitate e della mancanza di tempo non è possibile fare dei test frequenti, le PMI dovrebbero perlomeno controllare trimestralmente il proprio piano di preparazione ai disastri.