Tutti i software, per loro stessa natura, presentano delle vulnerabilità. Le patch e gli aggiornamenti regolari possono minimizzare il rischio che le falle vengano sfruttate. Purtroppo, molti sottovalutano questo aspetto, che viene visto come un inutile investimento di risorse, e quindi come un costo. Questo approccio è sbagliato perché abbiamo visto molteplici esempi di attacchi andati a buon fine per colpa di mancati aggiornamenti.

Gli upgrade di sicurezza dovrebbero rientrare fra gli investimenti di potenziamento e tutela del business, non fra i costi. Ma se ci si ostina a ragionare in termini di costi, facciamo i calcoli in quest'ottica. Anzi, i conti li ha fatti Kaspersky con il report "How businesses can minimize the cost of a data breach".

Dati alla mano, quello che deriva è che una violazione dei dati in un'azienda enterprise europea che ha in uso tecnologie obsolete comporta perdite economiche del 23% superiori rispetto alle aziende che aggiornano tempestivamente i sistemi. Se il danno sembra notevole, i calcoli sulle PMI fanno impallidire. Nella stessa situazione, il danno lievita del 53% in caso siano presenti software non aggiornati.

Le percentuali sono abbastanza corpose da giustificare un investimento di tempo per l'installazione delle patch. Qualora le percentuali non bastassero, ci sono anche i conteggi in valuta. Partiamo dall'enterprise. Se la vittima di data breach è un’impresa che utilizza sistemi operativi non aggiornati, vecchi software e dispositivi mobile non supportati, la perdita economica si attesta a 753.500 euro, contro i 610.000 euro di un'azienda di pari dimensioni con prodotti aggiornati. 
Le PMI con tecnologia obsoleta subiscono un danno economico di 86.000 euro, contro i 56.000 euro delle realtà che hanno diligentemente installato tutti gli aggiornamenti.

Viene quindi da chiedersi come mai quasi la metà delle aziende europee (il 44%) utilizzi almeno una tecnologia obsoleta nelle proprie infrastrutture. Fra le ragioni addotte, quella più comunemente segnalata è l'incompatibilità degli aggiornamenti con i software aziendali (46%). Seguono motivazioni quali il rifiuto dei dipendenti di lavorare con nuove versioni dei software (46%) e il fatto che i primi a non volersi aggiornare sono i dirigenti aziendali.

Probabilmente è venuto il momento di rivedere le proprie priorità, tenendo conto del fatto che con la pandemia i cyber attacchi si sono moltiplicati. Lasciare gli asset aziendali scoperti è un rischio gravissimo, che può sfociare nel blocco dell'operatività aziendale. 

Se proprio non c'è modo di aggiornare i prodotti, a questo punto l'unico modo per mettere l'infrastruttura in sicurezza è gestire quelli che di fatto sono vettori di attacco separando in modo intelligente i nodi vulnerabili dal resto della rete. Oltre ad aumentare la consapevolezza riguardo alla sicurezza e alle competenze pratiche in materia di sicurezza informatica per i manager IT. Un corso di formazione online sulla cybersecurity potrebbe essere d'aiuto.