«In ambito organizzativo c'è ancora molto da fare», sostiene Andreas Hölzli. Proprio là dove i criminali informatici sono soliti colpire – tra i collaboratori – si va più a rilento con la pianificazione e l'attuazione delle misure di protezione. Solo la metà delle PMI svizzere dispone di un piano di sicurezza IT e solo due quinti istruiscono regolarmente i collaboratori o conducono controlli di sicurezza informatica.

Quindi la protezione informatica non è una questione principalmente tecnica? «No», afferma Andreas Hölzli. «Le misure tecniche sono molto importanti, ma rappresentano solo un aspetto del piano di sicurezza informatica. Ci vogliono anche misure organizzative e processi sicuri.» 

Ecco come le PMI, secondo lo studio attuale, si tutelano dagli attacchi informatici: la maggiore necessità d'azione si ravvisa a livello di misure organizzative: 

 

Andreas Hölzli cita scenari tipo in cui possono svilupparsi rischi informatici: per esempio quando in un software vengono alla luce nuovi punti deboli che gli hacker possono sfruttare. Oppure quando i processi non sono chiaramente definiti e gli ex collaboratori hanno ancora accesso ai sistemi aziendali. In alternativa subentra il fattore umano: con i ritmi frenetici della vita quotidiana, è facile per i collaboratori dimenticarsi di verificare con attenzione il mittente di un'e-mail e cadere nella trappola del phishing.

Quali sono le misure utili per ridurre anche i rischi informatici non tecnici? «La cosa più importante è sensibilizzare costantemente i collaboratori», sostiene Andreas Hölzli. «Basta una persona incauta o ignara che digiti i suoi dati nel luogo sbagliato e il danno è fatto.» Una PMI può affrontare il problema internamente, oppure affidarsi a fornitori esterni come la Mobiliare, che erogano formazioni sul tema in formato virtuale, incluse simulazioni di phishing.

Mai prima d'ora si sono trasmessi, archiviati, salvati e collegati in rete così tanti dati. La sicurezza IT si sta trasformando in un compito strategico del management. Perché se la tecnologia non funziona, in alcuni casi l’impresa deve chiudere. Per Andreas Hölzli, nell’ambito della sicurezza informatica, è d'obbligo un inventario completo dell'infrastruttura IT: «Spesso le imprese non sanno nemmeno come sia composta la loro dotazione hardware e software e se l'intera infrastruttura IT sia soggetta a una manutenzione adeguata». Soprattutto nel caso di un attacco, sono cruciali anche competenze e processi chiari. «Quando gli attacchi informatici sono in corso e i sistemi bloccati, è troppo tardi per mettere a punto un piano d'emergenza. Bisogna definire preventivamente come condurre l'attività durante una crisi.»