Due terzi dei CISO si sentono impreparati ad affrontare un attacco informatico. Questo è ciò che emerge dal report firmato Proofpoint, azienda attiva nel campo della cybersecurity e compliance e specializzata nelle minacce via email.

Il report Voice of the CISO 2021, che è stato rilasciato e presentato il 26 maggio, analizza le sfide principali che i Chief Information Security Officer devono affrontare dopo gli ultimi, faticosi, dodici mesi. L’analisi raccoglie le risposte all’indagine globale svolta su oltre 1.400 CISO di organizzazioni di medie e grandi dimensioni, operative in settori differenti.

Nella sua introduzione, Andrew Rose, Resident CISO di Proofpoint, ha presentato la sua visione: “I cambiamenti che vediamo e viviamo ormai da un anno devono essere considerati permanenti. Sarà difficile, se non impossibile, far finta che lo smart working – o meglio remote workingnon sia mai esistito, così come le tecnologie sviluppate nell’ultimo anno”.

La domanda principale che Proofpoint si è posta è “Come si sentono i CISO al riguardo?” Sono fiduciosi? Sono spaventati? E in che termini?

I CISO sono preoccupati di fronte agli attacchi

Luca Maiocchi, Country Manager Italia di Proofpoint.

Luca Maiocchi, Country Manager Italia di Proofpoint.

In media, il 64% dei CISO intervistati si sente a rischio di attacco nel prossimo anno, e un quinto di essi pensa che il rischio sia molto alto. C’è da dire che il dato non è uguale per tutte le nazioni. “Spesso, nel report, l’Italia è un campione rappresentativo” ha affermato Luca Maiocchi, Country Manager Italia di Proofpoint.

È strano, però, vedere la discrepanza nel rischio percepito, per esempio tra il Regno Unito (81%) e Singapore (44%). Perché questa differenza? Andrew Rose ha provato a rispondere premettendo che non esiste una risposta corretta quando si parla di sicurezza, perché ci sono fin troppe variabili. La risposta più plausibile è che ciò dipende dalla maturità e consapevolezza di ciascuno stato sugli impatti che gli attacchi possono avere.

Inoltre, le minacce più temute a livello globale sono le frodi tramite e-mail (34%) e le compromissioni degli account cloud (33%). Tra gli altri, citiamo gli attacchi DDoS (Distributed Denial of Service), quelli alla supply chain e il phishing.

Le aziende non si sentono preparate

Il 63% dei CISO italiani (contro il 66% globale) ritiene che la propria organizzazione non sia preparata a far fronte a un cyberattacco mirato nel 2021. Anche il rischio informatico è in aumento: il 42% dei CISO italiani è più preoccupato delle ripercussioni di un cyberattacco rispetto al 2020.

Il problema principale è che c’è tanta incertezza su quali saranno i prossimi attacchi e sulla loro complessità. Di conseguenza non si sa su cosa è prioritario investire. Non essendoci una chiara direzione da seguire è inevitabile sentirsi impreparati. Anche la formazione deve essere mirata, “ma su quali temi devo formare i miei impiegati?”. Un dato interessante, a tal proposito, è che i danni causati da attacchi tramite e-mail sono stati sessantasei volte superiori a quelli causati da ransomware.

L’errore umano è ancora la maggiore vulnerabilità

Andrew Rose, Resident CISO di Proofpoint

Andrew Rose, Resident CISO di Proofpoint.

Più della metà degli intervistati ritiene che i dipendenti comprendano il loro ruolo nella protezione della loro organizzazione dalle minacce informatiche, ma per il 50% dei CISO italiani (il 58% a livello globale) l’errore umano è ancora la maggiore vulnerabilità IT della loro organizzazione. Tra le modalità più probabili di rischio per l’azienda, i CISO hanno elencato password non sicure (non cambiate o riutilizzate), la fuga di dati intenzionale, e le e-mail di phishing.

Gli ambienti di lavoro ibridi rappresentano una nuova sfida a lungo termine per i CISO. Quasi il 60% degli intervistati è d’accordo sul fatto che il lavoro da casa abbia reso la loro organizzazione più vulnerabile ad attacchi mirati. “L’87% degli attacchi – ha affermato Rose – è human related. Bisogna investire sulla formazione dei dipendenti, renderli consapevoli. Ma non basta: è fondamentale implementare anche più livelli di autenticazione”.

Adattare la propria strategia per stare al passo

Il cybercrime è sempre più redditizio: il 65% dei CISO italiani sostiene che in futuro lo sarà ancora di più, mentre per il 54% diventerà più rischioso per i cybercriminali.

Ad ogni modo, i CISO dovranno adattare la propria strategia di cybersecurity per stare al passo. Circa il 65% di essi sarà in grado di resistere e riprendersi in modo migliore dagli attacchi entro il 2023. Le prime tre priorità per i CISO italiani nei prossimi due anni sono:

  • migliorare la consapevolezza dei dipendenti sulla cybersecurity (42%, dato nettamente superiore a quello globale che è il 32%);
  • supportare il lavoro remoto (31%);
  • consolidare le soluzioni e i controlli di sicurezza (31%).

Il 2020 ha elevato il ruolo del CISO, così come le aspettative di business. Il 48% dei CISO italiani concorda che le aspettative sulla loro funzione sono eccessive. La percezione della mancanza di supporto da parte del consiglio di amministrazione persiste e solo il 18% dei CISO italiani (rispetto a un dato globale del 25%) è fortemente d’accordo che il loro consiglio di amministrazione sia allineato con loro sulle tematiche di cybersecurity. Alcuni di essi, infine, sono fiduciosi che il budget dedicato alla cybersecurity sarà maggiore il prossimo anno, altri, invece, sono convinti del contrario, a causa di tagli generali che la pandemia ha causato.

Il “good enough” non basta

“L’approccio good enough (abbastanza buono) adottato negli ultimi 12 mesi purtroppo non funzionerà a lungo termine: con le imprese che difficilmente torneranno ai metodi di lavoro precedenti alla pandemia, il mandato di rafforzare le difese di sicurezza informatica non è mai stato così pressante. I CISO ricoprono una funzione business-critical, ora più che mai” dichiara Ryan Kalember, Vicepresidente Esecutivo della Cybersecurity Strategy di Proofpoint.

I risultati del report sottolineano che i CISO hanno bisogno di strumenti per mitigare il rischio e sviluppare una strategia che abbia un approccio focalizzato sulle persone per la cybersecurity. Kalember sottolinea, inoltre, l’importanza della formazione sulla consapevolezza per affrontare situazioni in continua evoluzione, come quelle vissute dalle aziende durante la pandemia.