I CISO si sentono più al sicuro che in passato: ma sarà poi vero?
I responsabili della cybersecurity nelle aziende si sentono meno preoccupati verso possibili attacchi informatici rispetto all’anno scorso. Questo in estrema sintesi è quel che emerge dal recente rapporto Voice of the CIO realizzato da Proofpoint, che quest’anno si intitola appunto “La quiete dopo la crisi”.
Ma sarà poi vero che le aziende possono dormire sonni più tranquilli rispetto a un anno fa? Bisogna fare una prima precisazione: la maggior parte delle risposte al sondaggio è stata data prima dell’invasione russa in Ucraina, e del conseguente surriscaldarsi del fronte cyber.
In parte, la maggior sicurezza può poi essere determinata dagli importanti investimenti fatti a partire dal 2020 per abilitare il lavoro remoto e migliorare i servizi digitali, diventati sempre più strategici per le aziende in un mondo che è passato sempre più dalle relazioni in presenza con i propri clienti a quelle online.
Detto ciò, il rapporto rivela che tra la percezione dei CISO e la realtà dei fatti esiste una scollatura importante, in particolare per quanto riguarda l’influenza del fattore umano nelle cause prime di una violazione, sia esso dovuto a un comportamento intenzionale o un errore involontario dei dipendenti, e sulla frequenza e gravità degli attacchi. Per il World Economic Forum, il 95% degli attacchi informatici è imputabile a errore umano, mentre secondo i CISO la percentuale è “solo” del 65%.
È interessante notare che questa differenza tra percezione e realtà è tanto più elevata in quei paesi in cui è più bassa cultura informatica e di cybersecurity: nei paesi con maggiori competenze la percezione del rischio è più elevata.
Le trasformazioni nel mondo del lavoro e il rischio Cyber
Tra le principali preoccupazioni troviamo il turnover del personale innescato dal fenomeno delle Grandi Dimissioni: il 41% dei dipendenti a livello globale sta pensando di cambiare lavoro. Questo da un lato rischia di comportare la perdita di competenze nel reparto IT security, e dall’altro comporta per tutti i reparti l’immissione di nuovo personale che deve essere formato sui temi della sicurezza. Non è poi da tralasciare che un dipendente sleale o indispettito che abbandona l’azienda potrebbe portare con sé dati aziendali o creare comunque dei danni.
Altro aspetto che comunque preoccupa i CISO è il telelavoro: il 51% dei CISO a livello globale (ma sol il 37% in Italia) afferma che dopo l’introduzione del lavoro remoto la propria azienda ha subìto più attacchi, anche se il dato è in netto miglioramento rispetto allo scorso anno: 58% sia globalmente, che nel nostro Paese.
Ransomware alla ribalta
Il 56% dei CISO pensa che le notizie sugli attacchi ransomware, che nell’ultimo periodo hanno avuto grande rilevanza mediatica per le dimensioni dei soggetti colpiti e la gravità dei disservizi creati, abbiano rafforzato tra i dirigenti la consapevolezza del rischio. C’è una coscienza chiara del fatto che questa è una problematica diffusa, in forte aumento per quanto riguarda frequenza dei casi e complessità (+150% nell’ultimo anno) e che può creare gravi danni ai fatturati e alla reputazione delle aziende.
Malgrado ciò, molti CISO ancora ritengono che le aspettative nei propri confronti siano eccessive. La sensazione è diminuita rispetto al passato, ma rimane la metà circa. In Italia, solo il 24% dei CISO pensa di essere allineato col CDA sulle questioni cyber.
Tra le strategie adottate, i CISO sono orientati a dare priorità alla prevenzione del ransomware (59%) ma “è preoccupante che la risposta agli incidenti non sia ancora un oggetto di sviluppo coerente e solido”, afferma Luca Maiocchi, Country Manager di Proofpoint Italia, che sottolinea che solo il 58% delle aziende fa esercitazioni o simulazioni per rimediare a un attacco ransomware, ma che questo avviene molto poco in Italia.
Addirittura il 58% dei CISO ha affermato che l’azienda ha definito una policy per il pagamento del riscatto, e la stessa percentuale ritiene che l’assicurazione cyber sottoscritta li ripagherà dei danni nel momento del bisogno, ma in Italia – dove salvo autorizzazioni delle autorità è vietato pagare il riscatto – è bene non fare troppo conto su questa possibilità.
Un aspetto positivo della maggiore diffusione delle polizze assicurative cyber è che le assicurazioni impongono alle aziende una serie di controlli e misure che consentono al CISO di acquisire quegli strumenti di sicurezza che altrimenti farebbero fatica a far approvare al board.
Il rapporto Voice of the CISO 2022 di Proofpoint è disponibile a questo link.