Il report Voice Of The CISO 2002 di Proofpoint mostra un quadro più confortante rispetto al passato. Solo il 46% teme che l’azienda possa subire un attacco informatico.

CISO

Proofpoint, azienda di cybersecurity e compliance, ha pubblicato il proprio report annuale Voice of the CISO, che analizza le principali sfide affrontate dai Chief Information Security Officer (CISO) di tutto il mondo. Se hanno trascorso il 2021 a fare i conti con nuovi modi di lavorare, oggi molti CISO sentono di avere un maggiore controllo del loro ambiente: a livello globale solo il 48% (e il 46% di quelli italiani) ritiene che la propria organizzazione sia a rischio di subire un attacco informatico nei prossimi 12 mesi, in calo rispetto al 64% (dato sia globale che italiano) dello scorso anno.

Tuttavia, sentirsi preparati per un attacco informatico è molto diverso dall’esserlo. Questa crescente fiducia dei CISO è probabilmente più il risultato di aver superato indenni un evento sconvolgente (la pandemia), e non di un cambiamento tangibile dei livelli di preparazione al rischio. Secondo il report Proofpoint il 50% dei CISO globali ritiene ancora che la loro organizzazione sia impreparata a gestire un attacco IT e il 56% considera l’errore umano come la più grande vulnerabilità informatica. In particolare, modalità consolidate di lavoro da qualsiasi luogo e il fenomeno delle dimissioni di massa (The Great Resignation) presentano oggi nuove sfide relative alla protezione delle informazioni.

Il report Voice of the CISO di quest’anno raccoglie le risposte di oltre 1.400 CISO di organizzazioni di medie e grandi dimensioni appartenenti a diversi settori. Nel corso del primo trimestre del 2022, sono stati intervistati cento CISO in ogni mercato di 14 paesi: Stati Uniti, Canada, Regno Unito, Francia, Germania, Italia, Spagna, Svezia, Paesi Bassi, Emirati Arabi, Arabia Saudita, Australia, Giappone e Singapore.

La ricerca approfondisce tre aree principali: il rischio di minaccia e le tipologie di attacchi che i CISO combattono quotidianamente, i livelli di preparazione dei dipendenti e dell’organizzazione nell’affrontarli, e l’impatto derivante dalla necessità di supportare di una forza lavoro ibrida mentre le aziende si preparano al rientro in ufficio. Analizza inoltre anche le sfide che i CISO devono affrontare nel loro ruolo, la posizione all’interno della C-suite e le aspettative di business dei loro team.

Con gli attacchi di alto profilo che hanno interrotto le supply chain, fatto notizia e sollecitato una nuova legislazione sulla sicurezza informatica, il 2021 si è rivelato un ulteriore momento difficile per i CISO di tutto il mondo. Mentre i CISO si adattano a nuovi modi di lavorare, è incoraggiante vedere che ora appaiono più sicuri della loro postura di sicurezza“, evidenzia Andrew Rose, Resident CISO EMEA di Proofpoint. “L’impatto della pandemia sui team di sicurezza si attenua gradualmente, ma il nostro report 2022 mette in luce una questione altrettanto urgente. I dipendenti abbandonano il loro lavoro o scelgono di non rientrare, e le aziende si trovano ora a dover gestire una serie di vulnerabilità legata alla protezione delle informazioni e alle minacce interne“.

La percezione della sicurezza da parte dei CISO italiani

Il report Voice of the CISO 2022 di Proofpoint evidenzia i trend generali e le differenze regionali nella community globale dei CISO. In particolare, i risultati emersi dall’indagine condotta sui CISO italiani evidenziano che:

  • I CISO italiani sono più fiduciosi della loro postura di sicurezza informatica: dopo due anni di interruzioni senza precedenti, sentono ora di avere un maggiore controllo del loro ambiente. Poco meno della metà degli intervistati (46%) ritiene che la propria organizzazione sia a rischio di subire un attacco informatico nei prossimi 12 mesi, rispetto al 64% dello scorso anno. La media globale è del 48%.
  • Manca il consenso tra i CISO sulle minacce più significative rivolte alla loro organizzazione: quest’anno, le minacce interne – siano esse negligenti, accidentali o criminali – rappresentano la prima fonte di preoccupazione per i CISO italiani al 34%, seguite da attacchi smishing e vishing (33%) e dalle frodi via email (Business Email Compromise) al 30%. Nonostante sia stato protagonista indiscusso nelle notizie di cronaca, il ransomware è aumentato solo di 1 punto percentuale rispetto allo scorso anno, al 28%.
  • La preparazione informatica delle organizzazioni è migliorata, ma rimane una preoccupazione importante: la crescente familiarità con l’ambiente di lavoro post-pandemia ha permesso ai CISO di sentirsi maggiormente preparati ad affrontare le minacce IT. Nel 2021, il 63% dei CISO italiani non si riteneva sufficientemente preparato per un attacco mirato nel 2021, percentuale scesa al 42% quest’anno.
  • La consapevolezza della sicurezza dei dipendenti è in aumento, ma gli utenti non sono ancora adeguatamente preparati: il 51% degli intervistati italiani ritiene che i dipendenti comprendano il loro ruolo nella protezione dell’azienda dalle minacce, e solo il 43% dei CISO italiani considera l’errore umano la più grande vulnerabilità informatica della loro organizzazione, ben al di sotto della media globale del 56%. Nell’ultimo anno, solo il 40% dei CISO italiani intervistati ha aumentato la frequenza della formazione sulla sicurezza informatica per i dipendenti.
  • Il lavoro ibrido a lungo termine mette ancora alla priva i CISO italiani per la protezione dei dati: con i dipendenti che rappresentano ora il perimetro difensivo in qualsiasi luogo lavorino, il 37% dei CISO italiani concorda sul fatto di aver osservato un aumento degli attacchi mirati negli ultimi 12 mesi. Quasi la metà (48%) afferma che il maggiore turnover di dipendenti ha reso la protezione dei dati una sfida maggiore. Alla domanda relativa a come i dipendenti fossero più propensi a causare una violazione dei dati, i CISO italiani hanno indicato come vettore più probabile gli attacchi insider compromessi, in cui i dipendenti espongono inavvertitamente le loro credenziali, fornendo accesso a dati sensibili ai cybercriminali.
  • Le notizie sul ransomware hanno aumentato sensibilmente la consapevolezza del rischio informatico a livello di C-Suite e hanno provocato cambiamenti di strategia: i recenti attacchi di alto profilo hanno reso il ransomware una priorità nelle agende aziendali, con il 52% dei CISO italiani che ha rivelato di aver stipulato un’assicurazione cyber e il 53% che si concentra sulla prevenzione rispetto a strategie di detection e response. Nonostante l’aumento della posta in gioco, tuttavia, un preoccupante 45% dei CISO ammette di non avere in atto una policy di pagamento del riscatto.
  • Cala leggermente la pressione sui CISO italiani, ma il board buy-in rimane precario e il rischio informatico preoccupa i dirigenti aziendali: Il 45% dei CISO italiani ritiene che le aspettative sulla loro funzione siano eccessive, in calo rispetto al 48% dello scorso anno. Tuttavia, cresce la percezione della mancanza di allineamento con il consiglio di amministrazione: solo il 10% dei CISO italiani concorda fortemente sul fatto che il loro consiglio di amministrazione sia allineato sulle questioni di cybersecurity. Quando si tratta di rischio informatico, i CISO italiani hanno elencato danni alla reputazione, perdita di clienti attuali e tempi di inattività significativi come principali preoccupazioni del board.

Dopo aver trascorso due anni a rafforzare le loro difese per supportare il lavoro ibrido, i CISO hanno dovuto dare priorità agli sforzi per affrontare le minacce che prendono di mira la forza lavoro distribuita e dipendente dal cloud di oggi. Di conseguenza, la loro attenzione si è man mano concentrata verso la prevenzione degli attacchi più probabili, come la compromissione delle email aziendali, ransomware, minacce interne e attacchi DDoS“, sottolinea Luca Maiocchi, Country Manager di Proofpoint Italia. “Nel complesso, i CISO sembrano considerare il 2022 come un anno di calma dopo la tempesta, ma potrebbero incappare in un falso senso di sicurezza. Con l’aumento delle tensioni geopolitiche e degli attacchi focalizzati sulle persone, le stesse lacune di consapevolezza, preparazione e prevenzione degli utenti devono essere colmate prima che i mari della cybersecurity si agitino ancora“.