Nelle aziende italiane c’è ancora poca consapevolezza dell’importanza della cybersecurity come strategia di business. E’ quanto emerge dalla ricerca pubblicata da Proofpoint, che ha coinvolto 138 CSO/CISO di diversi settori industriali in Italia. Realizzato dalla community Facciamo sistema – Cybersecurity nel periodo tra maggio e giugno 2020, lo studio ha esplorato tre aree principali: frequenza degli attacchi informatici, preparazione delle aziende, problematiche nell’implementazione di strategie informatiche di difesa.

Secondo lo studio il 52% delle aziende coinvolte, tutte di dimensioni medio-grandi, ha subito almeno un attacco informatico nel 2019 e, tra queste, il 41% ha dichiarato di averne subito più di uno.

Questo primo dato evidenzia che le aziende non possono più adottare un approccio reattivo, ma devono muoversi in modo proattivo. La probabilità di subire un attacco informatico è molto alta, e i dati del 2020 confermano il trend dell’anno scorso”, ha sottolineato Luca Maiocchi, Country Manager di Proofpoint per l’Italia. “Gli attacchi hanno un impatto notevole sul business, sia di immagine che economico, ma in Italia la cultura del rischio non è ancora trattata in modo efficace”.

proofpoint panorama

Tra le tipologie di attacco registrate dalle aziende italiane prevale il phishing (39%), seguito da Business Email Compromise (28%), Insider threat (22%) e Credential phishing (22%). Anche l’emergenza Covid-19 ha avuto i suoi effetti: il 26% delle imprese italiane ha registrato un aumento del numero di attacchi legati alla pandemia.

Secondo le nostre rilevazioni a livello mondiale, l’Italia è stata il primo Paese che ha subito un attacco geolocalizzato riconducibile alla diffusione del coronavirus”, ha confermato Maiocchi. “Oltre a questo, abbiamo rilevato anche un attacco di tipo Lookalike Domains che aveva come target le farmacie italiane”.

Se i principali tipi di attacco si basano su tecniche che riguardano l’email, non stupisce che l’85% dei CISO ritenga che i dipendenti possono rendere la propria azienda più vulnerabile. In particolare, i manager intervistati hanno indicato come fattori di rischio la possibilità di farsi colpire delle email di phishing (67%) e cliccare su link dannosi (63%), accanto a una cattiva gestione delle informazioni sensibili (46%).

L’importanza della formazione

Il 50% dei CISO intervistati ritiene che la mancanza di consapevolezza sulle minacce informatiche sia la sfida più grande da affrontare in azienda. Il 39% ritiene che la propria azienda debba investire di più nella formazione e nella sensibilizzazione, e proprio la mancanza di competenze e formazione è vista dal 57% come un ostacolo all’implementazione di tecnologie di sicurezza informatica .

proofpoint formazione

Nonostante ciò, solo il 65% dei CISO italiani ha ammesso di formare i propri dipendenti sulla consapevolezza della sicurezza informatica una volta all’anno o meno, mentre il 17% dichiara non effettuare alcuna formazione. E solo il 17% delle imprese ha un programma di formazione continua.

Le aziende italiane devono puntare a una strategia incentrata sulle persone, perché i cybercriminali si rivolgono sempre più ai singoli individui piuttosto che alle infrastrutture per rubare credenziali e dati sensibili”, ha confermato Maiocchi. “CISO e CSo devono portare la sfida a livello del board: è un passaggio fondamentale per inserire la cybersecurity nella strategia di business complessiva”.

Un aspetto fortemente evidenziato dalla ricerca è infatti la difficoltà di CISO e CSO nel far comprendere al manager l’importanza di integrare nella strategia aziendale la protezione di dati e asset, per gestire in modo proattivo i danni di un potenziale attacco informatico.

Il 52% degli intervistati ritiene che la sicurezza informatica sia una priorità per il consiglio d’amministrazione, ma solo il 21% ha fiducia nel fatto che il management sia preparato e in grado di comprendere le tecnologie necessarie per implementare le difese adatte in tema di cybersecurity.

Dal punto di vista organizzativo, i CISO sono sempre più coinvolti a livello di consiglio di amministrazione, e contribuiscono a discutere il budget della sicurezza informatica nel 56% delle organizzazioni italiane, con il consiglio esecutivo coinvolto nel 55% dei casi.

Un esempio di successo

Il dialogo tra CSO e management è un elemento importante della strategia di sicurezza di Luigi Ricchi, Information Security Manager presso l’aeroporto “G. Marconi” di Bologna.

Per portare il tema della cybersecurity all’attenzione dei manager mi sono rivolto a loro attraverso un percorso di ‘smart learning’: in pratica, chiedevo dei brevi incontri per parlare con le persone che normalmente il CSO non riesce a raggiungere”, ha spiegato Ricchi. “Attraverso il confronto e la crescente consapevolezza sul tema, abbiamo avviato il programma di Cybersecurity Awareness”.

Si tratta di un progetto di formazione continua dei dipendenti tra i cui obiettivi c’è quello, per esempio, di mettere i dipendenti nella condizione di riconoscere gli attacchi di phishing. Avviato a settembre 2019 e sostenuto attraverso fondi europei, il percorso prevede sei cicli all’anno di formazione e valutazione dei dipendenti, erogate attraverso la piattaforma di Proofpoint.

Sono soddisfatto dei risultati fin qui ottenuti, perché siamo riusciti ad aumentare la maturità aziendale in tema di cybersecurity”, ha sottolineato Ricchi. “La formazione è diventata un processo aziendale a tutti gli effetti”.

Secondo il manager, per far comprendere al board l’importanza della strategia di sicurezza bisogna porre una domanda fondamentale: qual è il valore dei dati per la nostra azienda?A partire da qui, si può ragionare su cosa succederebbe nel caso di furto o compromissione di dati”, ha concluso Ricchi. “Nel nostro caso, si potrebbe arrivare alla chiusura dell’aeroporto: questa consapevolezza indica la strategia da attuare”.