Lo svela il report Voice Of The CISO 2022 di Proofpoint che però mette in luce anche alcune aree critiche. È ancora marcata la distanza tra CISO e management aziendale, resta molto da fare a livello di formazione e i cybercriminali operano in modo sempre più mirato e organizzato
Il 2021 ha portato un moderato ottimismo nei CISO (i Chief Information Security Officer) italiani, che mostrano oggi una maggior fiducia relativa ai temi della cybersecurity. Solo il 46% pensa infatti che la sua organizzazione sia a rischio concreto di subire un attacco informatico nei prossimi 12 mesi, rispetto al 64% dell’anno precedente. Lo rivela Proofpoint nel suo report annuale Voice of the CISO in cui analizza le sfide e le preoccupazioni che i CISO di tutto il mondo si trovano ad affrontare in uno scenario reso ancor più complesso dagli ultimi effetti della pandemia, dall’esplosione del remote working e dal fenomeno delle Grandi Dimissioni, che sta colpendo anche l’Italia dopo essersi fatto sentire principalmente nei paesi anglosassoni.
La ricerca è stata svolta a livello globale, ma il quadro che restituisce è abbastanza omogeneo. I CISO italiani sono addirittura più fiduciosi rispetto a una media globale del 48%. Secondo Luca Maiocchi, country manager di Proofpoint Italia, “è un dato che può sorprendere ma che deve essere letto almeno in due modi. Da un lato, nel corso degli ultimi ventiquattro mesi i CISO si sono trovati ad affrontare una vera e propria tempesta, causata dall’esplosione della pandemia e dalla rapida adozione del remote working che li ha messi particolarmente sotto pressione. Dall’altro non possiamo escludere che si tratti di una falsa sensazione di sicurezza, dovuta al fatto di aver comunque implementato soluzioni di protezione avanzate nel corso dell’ultimo anno.”
In paesi tradizionalmente più avanzati tecnologicamente, come Canada, Singapore e Regno Unito, la preoccupazione dei CISO registra infatti valori decisamente più alti, con il picco della Francia all’80%.
Le minacce che i CISO si trovano ad affrontare sono varie, ma sempre più spesso hanno un’origine precisa: quest’anno, la prima fonte di preoccupazione per i CISO italiani è rappresentata dalle minacce interne – siano esse negligenti, accidentali o criminali – con il 34% delle risposte, seguite da attacchi smishing e vishing (33%) e dalle frodi via email (Business Email Compromise) al 30%. Il ransomware ha fatto notizia, salendo spesso agli onori della cronaca, ma nella percezione dei CISO è aumentato solo di 1 punto percentuale rispetto allo scorso anno, al 28%.
È migliorata anche la preparazione informatica delle organizzazioni, anche se rimane una preoccupazione importante: la crescente familiarità con l’ambiente di lavoro post-pandemia ha permesso ai CISO di sentirsi maggiormente preparati ad affrontare le minacce IT. Nel 2021, il 63% dei CISO italiani non si riteneva sufficientemente preparato per un attacco mirato, percentuale scesa al 42% quest’anno.
Anche se la consapevolezza della sicurezza dei dipendenti è in aumento, gli utenti non sono ancora adeguatamente preparati: il 51% degli intervistati italiani ritiene che i dipendenti comprendano il loro ruolo nella protezione dell’azienda dalle minacce, e solo il 43% considera l’errore umano la più grande vulnerabilità informatica della loro organizzazione, ben al di sotto della media globale del 56%. Ma nell’ultimo anno, solo il 40% ha aumentato la frequenza della formazione sulla sicurezza informatica per i dipendenti.
“Nel complesso, i CISO sembrano considerare il 2022 come un anno di quiete dopo la tempesta, ma potrebbero incappare in un falso senso di sicurezza. Con l’aumento delle tensioni geopolitiche e degli attacchi focalizzati sulle persone, le stesse lacune di consapevolezza, preparazione e prevenzione degli utenti devono essere colmate prima che i mari della cybersecurity si agitino ancora,” spiega ancora Luca Maiocchi.
Un fattore particolarmente critico è rappresentato dalla mancanza di allineamento con il consiglio di amministrazione: solo il 34% dei CISO italiani è d’accordo con il board sulle questioni di cybersecurity nel 2022, in calo rispetto al 56% dell’anno precedente. E solo il 10% concorda fortemente sul fatto che il loro consiglio di amministrazione sia allineato sulle questioni di cybersecurity.
“Questo dato mette in luce la distanza che ancora esiste tra il management e la concezione della sicurezza intesa come elemento fondamentale di un’organizzazione aziendale. Oggi sempre di più, la protezione dipende sempre più da strategie e processi e non solo da soluzioni puntuali, che possono risolvere problemi specifici ma devono essere inserite in un quadro più ampio e organico,” conclude Luca Maiocchi.
