Una ricerca a livello di CdA e di CISO rivela che l’AI generativa solleva meno preoccupazioni per la sicurezza, ed è considerata un rischio da quattro consigli su dieci, un dato sotto la media globale
Autore: Redazione ImpresaCity
Arriva da Proofpoint una fotografia della cybersecurity in Italia, scattata nel report “Cybersecurity: The 2023 Board Perspective”, che analizza la percezione dei Consigli d’Amministrazione in merito a temi quali il panorama delle minacce globali, le priorità di cybersecurity e le relazioni con i CISO.
Per il report sono stati intervistati 659 membri dei consigli di amministrazione di aziende con 5.000 o più dipendenti di diversi settori, in 12 Paesi fra cui l’Italia. Il report analizza tre aree chiave: le minacce e i rischi informatici che i CdA devono affrontare; il loro livello di preparazione per mitigarle e l’allineamento con i CISO, anche sulla base delle opinioni dei CISO rilevate precedentemente da Proofpoint in occasione del report Voice of the CISO 2023.
Circoscrivendo il discorso all’Italia, il 67% degli intervistati ha dichiarato di sentirsi a rischio di un attacco informatico materiale - un dato in aumento rispetto al 60% del 2022. Migliora il livello di preparazione: il 39% dichiara di sentirsi impreparato ad affrontare un attacco mirato contro il 52% che lo scorso anno faceva la medesima dichiarazione.
Le interviste hanno fatto emergere altri dati interessanti. Il 75% degli intervistati italiani considera la cybersecurity una priorità e il 71% ritiene che il proprio consiglio di amministrazione comprenda chiaramente i rischi informatici da affrontare. Il passaggio dalle parole ai fatti però non è sempre immediato: solo il 57% afferma di aver investito adeguatamente nella cybersecurity, ma almeno l’85% prevede che il proprio budget per la cybersecurity aumenterà nei prossimi 12 mesi.
Una curiosità riguarda l’influenza che le novità esercitano sui manager di alto livello: il 39% dei direttori dei consigli di amministrazione italiani intervistati considera ChatGPT un rischio per la sicurezza della propria organizzazione, mentre a livello globale la stessa percezione è condivisa dal 59% degli interpellati.
Spesso quello fra Consiglio d'Amministrazione e CISO è un rapporto difficile. Il report di Proofpoint entra nel merito e conferma che Consigli d’Amministrazione e CISO mostrano preoccupazioni diverse riguardo alle principali minacce. Per il board, malware (41%), ransomware (39%), compromissione degli account cloud (31%) e attacchi DDoS (31%) sono le principali preoccupazioni. I CISO italiani invece temono soprattutto attacchi alla supply chain (30%), frodi via email/BEC (26%) e malware (25%).
Al contrario, i dirigenti sono tendenzialmente allineati ai CISO per quanto riguarda i rischi legati a persone e protezione dei dati: circa la metà dei consigli di amministrazione (55%) e dei CISO italiani (48%) concorda sul fatto che l’errore umano sia il rischio maggiore ed entrambi - 59% e 53% - condividono livelli di fiducia simili nella capacità di protezione dei dati della propria organizzazione. La responsabilità personale continua a preoccupare sia i consigli di amministrazione che i CISO: il 63% dei dirigenti ha espresso preoccupazione per la responsabilità personale in seguito a un incidente di cybersecurity nella propria organizzazione, confermata anche dal 53% dei CISO.
Questo conferma quanto già noto da tempo: le interazioni e le relazioni tra consiglio e CISO devono migliorare. Il 55% dei dirigenti italiani afferma di interagire regolarmente con i responsabili della sicurezza, in calo rispetto al 67% dello scorso anno. Questo dato lascia quindi quasi la metà dei consigli di amministrazione senza solide relazioni con i CISO. Nonostante questo, consigli di amministrazione e CISO sono generalmente allineati quando interagiscono, con il 67% dei dirigenti che afferma di avere una visione d’insieme con il proprio CISO, con il 57% di questi ultimi che conferma la relazione.
“I risultati del nostro report mostrano come la preoccupazione di subire un attacco informatico sia ben presente anche a livello di consiglio di amministrazione, evidenziando come tradurre una maggiore consapevolezza in strategie di sicurezza efficaci che proteggano persone e dati resti ancora una sfida complessa da affrontare. Lo sviluppo di relazioni ancora più forti tra consiglio di amministrazione e CISO sarà fondamentale nei prossimi mesi, in modo che entrambi possano avere conversazioni più significative, assicurandosi di investire nelle giuste priorità”, commenta Ryan Kalember, executive vice president of cybersecurity strategy di Proofpoint.