L’indagine Voice of the Ciso 2023, realizzata dall’azienda di cybersecurity, presentata dal Country manager italiano Luca Maiocchi e commentata da Matteo Colella della Community dei Ciso italiani
Autore: Edoardo Bellocchi
Arrivata alla terza edizione nel 2023, l’indagine “Voice of the Ciso” dello specialista della cybersecurity Proofpoint si caratterizza anche per essere molto completa, visto che per realizzarla sono stati interpellati nella scorsa primavera 1.600 professionisti aziendali della sicurezza in 16 Paesi, tra i quali l’Italia. Nel commentare a metà maggio a Milano i risultati dello studio, Luca Maiocchi, Country Manager di Proofpoint Italia, è stato affiancato da Matteo Colella, Ciso di Siram Veolia, azienda che si occupa di efficienza e trasformazione energetica ed ecologica, presente nella sua veste di esponente della Community italiana dei Chief Information Security Officer.
Ne è scaturito un confronto interessante, grazie sia alle risultanze dello studio di Proofpoint sia alle osservazioni di Matteo Colella, ispirate direttamente alle esperienze vissute nella vita quotidiana di chi si occupa oggi di sicurezza in azienda. È infatti noto che da tempo le preoccupazioni dei Ciso si sono moltiplicate, di pari passo con l’incremento esponenziale dei rischi relativi alla sicurezza IT.
Come è puntualmente riflesso nell’indagine di Proofpoint, nei Ciso italiani permane un livello di preoccupazione costante rispetto allo scorso anno, anche a fronte di una sensazione di minor preparazione rispetto agli attacchi: il 49% si sente infatti a rischio di attacco materiale nei prossimi 12 mesi, rispetto al 46% del 2022 e al 64% del 2021, ma soprattutto il 52% dei Ciso di casa nostra ritiene la propria azienda impreparata ad affrontare un attacco mirato, con un balzo del 10% rispetto al 42% dell’anno scorso ma in miglioramento se si guarda al 63% del 2021.
Nelle parole di Luca Maiocchi, questo dato va letto come “un ritorno al ‘business as usual’, ovvero al calo della fiducia che si è avuto dopo la breve fase di ottimismo seguita al superamento dei problemi dati dalla nota pandemia, e oggi lo scenario è nuovamente quello di preoccupazione per i rischi cyber”.
Gli fa eco Matteo Colella, per il quale un dato come il 49% di aziende che si sente a rischio, ben inferiore al 68% della media globale, è “da ritenersi preoccupante, sia perché spinge a chiedersi chi sia l’altro 51% che non si sente a rischio, sia perché da tempo lo scenario non è più quello in cui si dice ‘se’ mi attaccano ma ‘quando’ mi attaccano, ed è per questo che forse il dato è legato a una coscienza diversa rispetto agli strumenti che si hanno oggi a disposizione: visto che sempre più aziende si sono attrezzate, si sentono anche meno vulnerabili”.
Tra le minacce maggiormente percepite, gli attacchi alla supply chain sono la prima preoccupazione, seguiti dalle frodi via e-mail di tipo BEC, Business Email Compromise, e dal malware. Non è quindi un caso se il 51% dei Ciso italiani afferma di avere controlli adeguati per mitigare il rischio della supply chain, con un leggero aumento rispetto al 49% dello scorso anno. Però, nonostante queste protezioni possano sembrare adeguate al momento, in futuro i Ciso potrebbero sentirsi maggiormente a corto di risorse: il 53% afferma che l’instabilità economica ha avuto un impatto negativo sul loro budget per la cybersecurity.
Riguardo al ransomware, che oggi è come noto una delle minacce più gettonate dai cybercriminali, il 54% dei Ciso italiani ritiene che la propria azienda pagherebbe un riscatto per ripristinare i sistemi e impedire la diffusione dei dati in caso di attacco ransomware nei prossimi 12 mesi. Cresce anche il ricorso alle assicurazioni per spostare il rischio: il 54% ha dichiarato che effettuerebbe una richiesta di rimborso tramite assicurazione cyber per recuperare le perdite subite in varie tipologie di attacchi.
“I comportamenti in questo ambito sono i più svariati”, racconta Luca Maiocchi, spiegando che “alcune aziende pagano senza farlo sapere oppure lo fanno tramite terzi, e forse è anche per questo che oggi stipulare un’assicurazione cyber sta diventando sempre più complicato”.
Rimane il fatto che “da più di cinque anni a questa parte è cambiata la finalità degli attacchi: se prima erano praticamente solo rivolti per esempio a carpire segreti industriali oppure a bloccare determinate attività, adesso l’unico scopo è quello della monetizzazione, con organizzazioni strutturate che si occupano di cybercrime con volumi di affari notevolissimi, vicini ad attività criminali quali quelle legate agli stupefacenti”, spiega Colella nell'inquadrare il fenomeno ransomware, sottolineando che il problema del pagamento del riscatto si rivela particolarmente spinoso perché anche pagando non si è tutelati dai rischi che i dati sottratti vengano utilizzati in maniera fraudolenta.
Altro tema rilevante è quello della perdita di dati sensibili per l’azienda. Qui il dito viene puntato anche sul turnover dei dipendenti: se il 54% dei Ciso italiani dichiara di aver avuto a che fare nell’ultimo anno con una perdita di dati, l'83% di questi concorda sul fatto che i dipendenti che hanno lasciato l’azienda hanno contribuito a tale perdita.
“Per mitigare questo problema, le soluzioni tecniche ci sarebbero già, come per esempio l’Insider Threat Management, che è più incentrato sul comportamento delle persone rispetto alle soluzioni di DLP, Data Loss Prevention, ma va sottolineato che in Italia non è semplice implementarle, in quanto si tratta di soluzioni per certi versi ‘invasive’ e suscettibili talvolta di sconfinare nel terreno del monitoraggio del lavoro dei dipendenti”, fa notare Luca Maiocchi. Un punto di vista condiviso da Matteo Colella, che evidenzia, oltre all’aspetto più squisitamente normativo, anche quello della “difficile implementazione soprattutto nei contesti particolari del lavoro ibrido”.
Sempre in tema di rischio umano, c’è un leggero aumento nel numero di Ciso italiani che considera l’errore umano come la principale vulnerabilità IT della loro azienda: si tratta del 48% quest’anno, rispetto al 43% del 2022 e al 50% del 2021.
Non solo: il 54% dei Ciso ritiene che i dipendenti comprendano il proprio ruolo nella protezione dell’azienda, rispetto al 51% del 2022 e al 54% del 2021, e il costante allineamento di queste percentuali denota in sostanza una difficoltà a costruire una forte cultura della sicurezza, per la quale a detta di Matteo Colella “rimane fondamentale il tema della formazione specifica, per rendere tutte le persone partecipi sui rischi informatici che riguardano tutte le persone presenti in azienda a tutti i livelli”.
È un fatto che le crescenti pressioni sui Ciso stanno rendendo il lavoro più difficile: Il 51% di quelli italiani ritiene di dover affrontare aspettative lavorative irragionevoli, in aumento rispetto al 45% dello scorso anno. Se il ritorno alla nuova realtà può essere una delle ragioni alla base di questa opinione, va anche detto che il 53% dei Ciso è preoccupato per la responsabilità personale e il 48% dichiara di aver sperimentato una forma di burnout nell’ultimo anno. Si tratta di un fenomeno che è anche correlato all’evoluzione del ruolo del Ciso: “quello che prima era il Security Manager che si occupava di sicurezza informatica, cioè con un ruolo più tecnico e di tipo ‘hands on’, ora si occupa di vera e propria sicurezza delle informazioni, ovvero un compito complesso che comporta una forte pressione anche per il momento storico che vede le minacce in costante moltiplicazione”, fa notare Matteo Colella.
La buona notizia è che oggi Ciso e consigli di amministrazione sembrano essere più allineati: Il 57% dei Ciso italiani ritiene che il board sia in sintonia con loro sulle questioni di cybersecurity. Si tratta di un aumento sostanziale rispetto al 34% dei Ciso che condividevano questa opinione lo scorso anno, e più in linea con il 56% del 2021. “Senza dubbio la consapevolezza sui rischi sta crescendo, ed è per questo che i due mondi Ciso e board si stanno avvicinando, ma se nel mondo anglosassone questo avvicinamento può dare frutti, in Italia il Ciso viene tuttora visto come una figura autorevole ma soprattutto tecnica, mentre è difficile che i membri del CdA parlino il linguaggio tecnico: potrebbe essere opportuno favorire la creazione di profili ibridi che sempre più coniughino i due mondi management e tecnica”, conclude Matteo Colella.