I piani di disaster recovery sono un salvagente indispensabile per riprendere l’operatività aziendale in tempi brevi dopo un cyber attacco. Il problema è che non tutte le aziende ne sono dotate. Lo aveva già appurato Deloitte in tempi non sospetti, ossia prima del COVID. Si sperava che con la pandemia la lacuna sarebbe stata colmata, considerato che tutti i vendor di security hanno diffuso appelli alla consapevolezza del rischio, e alle azioni preventive che si sviluppano sulla base di analisi del rischio e, appunto, piani di disaster recovery.

A quanto pare la situazione non è migliorata in maniera tangibile. Secondo una recente indagine commissionata da Aruba e condotta da BVA Doxa, infatti, risulta che il 73% delle PMI italiane non è dotato di un piano di disaster recovery. E, ancora più grave, Il 68% delle piccole e medie imprese italiane non è intenzionato ad adottarne uno neanche nel lungo periodo.

Lo studio è stato realizzato mediante 300 interviste telefoniche a founder e Amministratori Delegati, C-Level (CIO, CTO e CFO), IT ed HR Manager. I settori coinvolti sono stati servizi e terziario, commercio, esercizi pubblici, sanità & istruzione, produzione & vendita, trasporto e costruzioni. Le aziende italiane interpellate erano piccole imprese fino a 25 dipendenti e medie imprese da 26 dipendenti in su.

Come accennato i risultati sono desolanti: solo un’azienda su quattro è dotata di un piano di disaster recovery, con un’incidenza leggermente più elevata tra le medie imprese (31%) rispetto alle piccole imprese. La situazione è lievemente migliore circoscrivendo il campo agli esercizi pubblici, quali alberghi, ristoranti e bar, dove a disporre di un piano di Disaster Recovery è il 49% del campione.

Torniamo al dato più preoccupante: non intende pianificare l’adozione di un piano di disaster recovery l’80% delle piccole imprese, mentre va un po’ meglio quando si passa alle medie imprese, dove la stessa intenzione è stata espressa dal 53% degli intervistati. Una situazione molto preoccupante, considerato anche che una PMI su quattro dichiara di non disporre nemmeno di una soluzione di backup.

I motivi della preoccupazione sono molteplici. Il primo è che oggi è ormai assodato che tutti sono suscettibili ad attacchi informatici: la domanda da porsi non è se si verificheranno, ma quando accadrà. E in quel momento sarà troppi tardi per correre ai ripari: quando si verifica un attacco ransomware colpisce attività, redditività e reputazione. Il problema è che una piccola realtà ha le spalle meno larghe per reggere un carico del genere. Una recente indagine di Kaspersky ha rivelato che un incidente cyber può creare a una Pmi gli stessi danni di un drastico calo delle vendite.

Pensare che una piccola azienda sia esente dal problema è un grave errore: per i cyber criminali le PMI sono gli obiettivi più facili e comuni. Sono meno difese, quindi più facili da attaccare, sono ricattabili, e sono una via d’ingresso appetibile per attaccare una grande aziende che è parte della stessa supply chain.