Tutti i dati della ricerca Proofpoint in collaborazione con The Cybersecurity Digital Club
Il personale poco o affatto formato sulle tematiche di cybersecurity rappresenta per la stragrande maggioranza dei CISO italiani (94%) il rischio maggiore per la sicurezza IT. A svelarlo una ricerca realizzata da Proofpoint in collaborazione con The Cybersecurity Digital Club, dedicata al rapporto delle aziende italiane con le tematiche di sicurezza, in particolare sulla protezione di dati e persone.
Negligenza o dolo, il rischio non varia
Sono molti i modi in cui i dipendenti possono rendere più vulnerabile l’azienda: dalla tendenza a cliccare su link pericolosi (80%) all’utilizzo non disciplinato di dispositivi USB (65%), dal download di allegati e file da mittenti sconosciuti (57%) alla condivisione di informazioni personali verso l’esterno (57%). Pratiche dietro alle quali come sanno bene i CISO non sempre c’è necessariamente dolo, ma più spesso un’inadeguata attenzione alle tematiche di sicurezza. Come dimostrano i dati che emergono dalla survey secondo cui il 47% dei dipendenti ammette di condividere le credenziali del proprio account e il 39% l’utilizzo con familiari e amici di dispositivi aziendali. «Problema che ha raggiunto picchi ancora più elevati durante i mesi dell’emergenza sanitaria» sottolinea Davide Gaieni, Information Technology Security Manager Aon Italia e membro del Cybersecurity Digital Club. Lo scarso engagement sui temi della sicurezza ha un costo per le aziende sia in termini di perdite finanziarie, evidenziata dal 38% dei CISO, che di dati critici (25%), mentre circa il 50% dei rispondenti lamenta danni reputazionali a seguito di una violazione. Tra le organizzazioni che dichiarano di aver subito un cyberattacco, in quasi due terzi dei casi la responsabilità viene attribuita ad insider negligenti o criminali.
Deve crescere il livello delle iniziative di formazione
I CISO italiani secondo quanto emerge dalla survey non sottovalutano i rischi legati a comportamenti negligenti o fraudolenti delle persone, come dimostra il dato relativo alla messa in atto di specifici programmi e protocolli per contrastare i pericoli derivanti da comportamenti inappropriati. In particolare i CISO concentrano i loro sforzi in iniziative mirate a identificare le minacce basate sull’email (96%), migliorare le buone pratiche di gestione delle password (88%) e più in generale su quelle di sicurezza (80%). Infine si riduce a circa il 4% i CISO che dichiarano di non avere un programma di formazione continua sulla sicurezza informatica PPP.
Per fronteggiare le minacce il 65% dichiara di aver adottato tecnologie dedicate per controllare e gestire le minacce interne, mentre il 33% possiede un piano di risposta al cosiddetto insider risk. «Dati tutto sommato positivi» commenta Emiliano Massa, Area Vice President Southern Europe di Proofpoint «anche se non si deve sottovalutare che circa un terzo delle organizzazioni interpellate ammette di non disporre di alcun strumento specifico a contrasto delle minacce interne e un quinto risulta sprovvista di qualsiasi forma di protocollo o piano specifico».
Visibilità e accesso alle informazioni sensibili sono un’altra fonte di preoccupazione. «Sebbene sia certamente positivo che oltre due terzi (71%) dei CISO dichiarino di segregare i dati e di limitarne l’accesso, le buone notizie finiscono qui» osserva Massa. Meno della metà infatti (43%) monitora regolarmente l’accesso ai dati da parte degli utenti, mentre circa un quarto (24%) non dispone degli strumenti necessari per avere visibilità dei luoghi in cui vengono archiviati i dati più sensibili.
I fattori cloud e hybrid work
Secondo il 22% degli intervistati lavoro ibrido e utilizzo crescente delle piattaforme cloud, processi accelerati dall’emergenza sanitaria, hanno aggravato la situazione, riducendo la visibilità dei CISO su chi accede ai dati e da dove. «Il 90% degli attacchi richiede una qualche forma di interazione con le persone per andare a buon fine» afferma Massa. «Ma nonostante questo il report mostra che a fronte dell’aumento del rischio di perdita di dati, solo il 43% dei CISO dichiara di disporre di un agent specifico di Data Loss Prevention (DLP) mentre il 14% ammette di non avere alcun tipo di protocollo o tecnologia preventiva a contrasto della perdita di dati. Il nostro impegno oltre a quello di elevare l’adeguatezza delle iniziative di formazione è di fornire tecnologie efficaci e capaci di cooperare con quelle già presenti in azienda. Ad esempio con le soluzioni di e-mail security integrate con la tecnologia endpoint. La volontà – conclude Massa – è di proseguire sempre di più in questa direzione».