Il panorama della cybersecurity è sempre più allarmante e il clamore mediatico di certi attacchi eclatanti continua a soffiare sul fuoco, alimentando la preoccupazione generale. Ma quali sono esattamente le angosce e i mal di pancia che turbano la quotidianità dei CISO – Chief Information Security Officer?
Il report Voice of The CISO, pubblicato da Proofpoint e giunto alla terza edizione, si pone proprio l’obiettivo di indagare il punto di vista dei responsabili sicurezza all’interno di grandi aziende internazionali, sondando le sfide e le priorità attuali.
“Abbiamo intervistato un campione di 1.600 CISO – spiega Luca Maiocchi, Country Manager di Proofpoint Italia – coinvolgendo 16 Paesi nel periodo tra il 30 gennaio e Il 7 febbraio 2023. Quest’anno sono state introdotte alcune novità sui focus di analisi, concentrandoci sul rischio di perdita dei dati, misurando l’impatto della crisi economica sui budget di cybersecurity e verificando come i CISO rispondono allo stato di crescente pressione”.
Percezione del rischio in aumento
Dopo tre anni di emergenza sanitaria, viene spontaneo chiedersi come i Chief Information Security Officer stiano vivendo il ritorno alla normalità lavorativa.
“Secondo la nostra indagine – sostiene Maiocchi – la percezione del rischio è aumentata rispetto all’anno passato. Oggi, il 49% dei CISO italiani pensa che nei prossimi 12 mesi potrebbe subire un attacco, mentre nel 2022 la percentuale era del 46%”. La differenza annua è molto più netta se contestualizzata nel panorama globale: i CISO “preoccupati” rappresentano attualmente il 68% del campione intervistato contro una media del 48% riferita alla rilevazione precedente.
Bisogna tuttavia riconoscere che il dato 2022 relativo al “pericolo percepito” è stato sorprendentemente basso, anche rispetto al 2021: molto probabilmente le aziende erano impegnate sulla ripresa post-pandemica, trascurando gli aspetti della cybersecurity.
Matteo Colella, CISO del Gruppo Siram Veolia, chiamato a commentare i risultati come rappresentate super partes della categoria professionale, interpreta così i risultati: “Secondo quanto emerso, il 51% dei Chief Information Security Officer italiani si sente al sicuro. Manca la percezione del rischio oppure le aziende sono effettivamente preparate di fronte alle minacce? Il livello di preoccupazione rilevato mi sembra abbastanza basso, visto che oggi venire attaccati è una certezza: non si tratta più di “se” ma di “quando” e vige una certa consapevolezza in merito”.
Probabilmente, come fa notare Colella, in Italia molte organizzazioni, dopo aver intrapreso un viaggio forzato nella digitalizzazione tre anni fa, oggi sono più ottimiste rispetto alla possibilità di proteggersi grazie alla pluralità di strumenti disponibili, sempre più avanzati ed efficaci. Ciò potrebbe spiegare l’elevata percentuale di CISO italiani forse eccessivamente confidenti.
Preparazione cyber e principali preoccupazioni
Tornando alla visione globale, la survey di Proofpoint mette in luce un altro dato interessante: se la preoccupazione sale, la preparazione delle aziende contro le minacce non cresce di pari passo. Quasi due terzi (61%) degli intervistati ritiene che la propria organizzazione non sia sufficientemente pronta nel contrastare un attacco. Regno Unito e Francia guidano la classifica: in entrambi i Paesi, il 76% dei CISO denuncia l’inadeguatezza delle proprie linee difensive. In Italia, invece, solo il 52% degli intervistati mette in dubbio la capacità di proteggersi della propria organizzazione. Tuttavia, la percentuale è in aumento significativo rispetto al 2022, quando il dato si attestava al 42%.
“Oggi – commenta Colella – gestire un attacco è esattamente al pari di affrontare una crisi aziendale, con tutta una serie di conseguenze: operatività interrotta, sottrazione di proprietà intellettuale, danno economico, azionisti a cui rispondere e così via. La preparazione è fondamentale a tutti i livelli dell’organigramma: la cybersecurity è un tema che coinvolge inevitabilmente l’intera organizzazione e non si è mai veramente pronti”.
Ma cosa causa maggiormente questo profondo senso di preoccupazione e inadeguatezza? Secondo il report, a livello internazionale, le minacce alla cybersecurity continuano a imperversare da ogni angolazione. Facendo un drill down sull’Italia, nella classifica delle emergenze più temute per i prossimi 12 mesi, gli attacchi alla supply chain sono al primo posto, seguiti dalle frodi via email e dal malware. Spaventa ancora il ransomware e cresce il timore per le minacce interne, imputabili alla negligenza, alla distrazione o alle cattive intenzioni dei dipendenti.
“I CISO italiani – osserva Maiocchi – iniziano a temere anche la compromissione degli account cloud. Tuttavia, la percentuale di risposte che evidenzia il problema, pari al 18%, è piuttosto bassa, considerando che come vendor osserviamo moltissimi attacchi che sfruttano proprio gli account come porta di ingresso”.
“Molti CISO – aggiunge Colella – considerano risolto il problema della compromissione degli account, perché è una battaglia già affrontata in precedenza. Inoltre, ritengono che gli account gestiti in cloud siano più sicuri, perché se ne occupa il provider e pertanto la questione viene archiviata. Tuttavia, si tratta di percezioni errate. Anzi, diventa fondamentale concordare preventivamente e nel dettaglio il modello di shared responsability con il fornitore, per non doversi ritrovare con brutte sorprese”.
Il fattore umano come principale vulnerabilità
Al di là delle minacce esterne, ciò che “terrorizza” i Chief Information Security Officer di tutto il mondo è il fattore umano, come emerge dalla ricerca di Proofpoint. Il 60% dei rispondenti a livello globale considera l’errore umano la più grande vulnerabilità IT per l’azienda, mentre il dato italiano si attesta al 48%.
“Il tema è ricorrente – sottolinea Colella – e l’arma principale per fronteggiare il rischio è la formazione, estesa a tutto il personale aziendale. Gli utenti possono sbagliare, ma anche chi configura gli strumenti di sicurezza non è immune da errori”. Insomma, la tecnologia non è infallibile, può venire in soccorso per recuperare gli sbagli commessi dai dipendenti incauti, ma non rappresenta la soluzione definitiva.
Le persone vanno insomma sensibilizzate e responsabilizzate, l’engagement diventa fondamentale. Secondo il report, solo il 54% dei CISO italiani e il 61% del campione globale ritiene che i dipendenti comprendano il loro ruolo nella protezione dell’azienda dalle minacce informatiche.
“Occorre instillare un cambiamento comportamentale – sottolinea Colella – facendo passare il messaggio che la cybersecurity è una responsabilità condivisa all’interno dell’azienda. La semplice formazione, che comunque deve essere impartita in modalità continuativa e non solo per ottemperare gli obblighi di compliance, non basta. Bisogna programmare attività specifiche per diffondere l’awareness e diventa fondamentale il commitment del management. Tutti dobbiamo essere consapevoli dei rischi e informati sulle minacce in costante divenire. Se i sistemi di sicurezza falliscono e fanno passare gli attacchi di phishing, l’utente formato invece può bloccare la minaccia”.
Difendere i dati contro violazioni e furti
Oltre a proteggere le persone grazie alla tecnologia e ai piani di awareness, i CISO dovranno concentrarsi sempre di più sulla difesa delle informazioni. Secondo il 63% del campione intervistato su scala internazionale, la propria azienda ha dovuto fronteggiare la perdita di dati sensibili negli ultimi 12 mesi. La percentuale del Bel Paese, invece, è pari al 54%.
Un problema fondamentale evidenziato dal report riguarda gli insider, ovvero i colleghi malintenzionati che trafugano informazioni. Tra i CISO che hanno subito una perdita di dati, infatti, l’83% degli italiani attribuisce una quota di responsabilità ai dipendenti che hanno lasciato l’azienda. La media internazionale è pressoché identica, pari all’82%.
Maiocchi e Colella concordano sulla difficoltà nell’intercettare i comportamenti insoliti del personale e prevenire così eventuali fughe di dati. Sebbene esistano sul mercato tecnologie specifiche per rilevare eventuali anomalie (ad esempio, Proofpoint ha una soluzione ad hoc nel proprio portafoglio), in Italia molti progetti naufragano per il diritto alla privacy. Il monitoraggio dei dipendenti è un terreno delicato, che smuove gli animi e i sindacati, oltre ad essere vincolato dalle normative giuslavoristiche.
Supply chain a rischio e pagamento dei riscatti
Proseguendo nella lettura del report, saltano all’occhio altre due statistiche particolarmente significative. Su scala globale, il 64% dei CISO ritiene di avere implementato controlli adeguati per mitigare i rischi legati alla supply chain, mentre il dato italiano riguarda il 51% del campione. Insomma, come evidenzia Maiocchi, il problema della sicurezza lungo la filiera rimane una priorità assoluta e sempre più spesso le aziende effettuano verifiche mirate sui potenziali partner prima dell’onboarding. La maturità delle strategie difensive e la postura digitale diventano quindi delle discriminanti nella scelta dei fornitori.
L’altro dato che fa riflettere riguarda invece la propensione delle imprese al versamento del riscatto in caso di attacco ransomware. Il 62% dei CISO a livello globale e il 54% in Italia ritiene che, nei prossimi 12 mesi, la propria azienda pagherebbe i cybercriminali per ripristinare i sistemi e impedire la diffusione dei dati. Cresce anche il ricorso alle assicurazioni per spostare il rischio: il 61% del campione internazionale e il 54% degli intervistati italiani ha dichiarato che effettuerebbe una richiesta di rimborso tramite assicurazione cyber per recuperare le perdite subite in varie tipologie di attacchi.
Come nota Colella, il pagamento è un dilemma di non facile soluzione: se si versa il riscatto, si finisce nella lista dei pagatori e altri criminali proveranno a estorcere denaro. Se non si paga, bisogna fare i conti con le conseguenze economiche dei fermi e i danni alla reputazione. Gli strumenti tecnologici per prevenire e contrastare gli attacchi ransomware oggi ci sono, ma chiaramente, se tutto dovesse andare storto, è fondamentale avere implementato un sistema efficace di backup e ripristino.
CISO e CDA, un rapporto in via di miglioramento
Le aziende insomma sono sempre più spaventate e i CISO sentono mancarsi il terreno da sotto i piedi: in Italia, ad esempio, il 53% dei Chief Information Security Officer afferma che l’economia instabile ha avuto un impatto negativo sul loro budget per la cybersecurity.
Se il quadro descritto dal report di Proofpoint, per molti versi non è incoraggiante e sottolinea la preoccupazione crescente dei Chief Information Security Officer, le buone notizie non mancano. Ad esempio, si assiste al progressivo miglioramento del rapporto tra i responsabili della sicurezza informatica e i board aziendali.
Il 62% dei CISO a livello mondo sostiene che i membri dei consigli di amministrazione siano in sintonia sulle questioni di cybersecurity. Il dato 2022 era fermo al 51%, mentre nel 2021 il risultato si attestava al 59%. Nel nostro Paese, oggi il 57% degli intervistati ritiene che ci sia un allineamento di vedute; la statistica attuale evidenzia un aumento sensibile rispetto al 2022 (34%) e una similarità con il 2021 (56%).
Come sottolinea Colella, nel biennio 2021-2022 la dirigenza era evidentemente impegnata a risolvere altre urgenze, mentre oggi la sfera del business e gli addetti alla cybersecurity si stanno avvicinando, soprattutto sulla spinta della crescente preoccupazione del board. Tuttavia, l’intesa tra i due mondi è molto più fluida e funziona meglio nei Paesi anglosassoni. In Italia, invece, occorrerebbero figure ibride di raccordo, in grado di instillare il dialogo traducendo linguaggi diversi: i tecnicismi della cybersecurity e i termini tipici del risk management.
Non è un caso che il 49% dei CISO italiani ritenga che dovrebbero essere richieste competenze in cybersecurity a livello di CDA.
Vita da CISO, sempre sotto pressione
L’indagine di Proofpoint ha permesso infine di misurare il benessere dei Chief Information Security Officer. Come viene vissuto lo stato di allerta continuo dagli addetti ai lavori?
Le crescenti pressioni sui CISO stanno rendendo la professione insostenibile. Il 61% del campione globale ritiene di dover affrontare aspettative lavorative irragionevoli, con un aumento significativo rispetto al 49% dello scorso anno. Il 62% è preoccupato per la responsabilità personale e il 60% dichiara di avere sperimentato il burnout negli ultimi 12 mesi. Nel Bel Paese, la situazione non è certo più rosea: il 51% degli intervistati si sente schiacciato dalle aspettative, mentre il 48% ha avuto una qualche forma di esaurimento psicofisico legato al lavoro.
Secondo Colella, a determinare il malessere dei CISO contribuisce certamente l’evoluzione del ruolo, da figura prettamente tecnica alle nuove responsabilità sul business. La pressione aumenta, dovuta a eventi interni ed esterni all’organizzazione, ma c’è una maggiore sensibilità in azienda e il CISO viene aiutato maggiormente.
