Tra situazioni d'emergenza, ransomware e Grandi Dimissioni: la figura del CISO in un rapporto di Proofpoint

Proofpoint ha pubblicato il nuovo rapporto "Voice of the CISO" col quale dà il punto di vista dei Chief Information Security Officer, le figure aziendali che si (pre)occupano della sicurezza delle informazioni. Aspetti interessanti sono senza dubbio quelli legati alla percezione della cybersicurezza da parte della dirigenza e alla trattazione emergenziale del tema.

La sicurezza informatica secondo i CISO: il 2022 a confronto con il 2021

Proofpoint ha intervistato 1.400 CISO in 14 Paesi (Stati Uniti, Canada, Regno Unito, Francia, Germania, Italia, Spagna, Svezia, Paesi Bassi, Emirati Arabi Uniti, Arabia Saudita, Australia, Giappone e Singapore) che lavorano in aziende aventi più di 200 dipendenti, distribuite in diversi settori (IT, sanità, produzione, pubblico, trasporti, istruzione, finanza, energia, servizi professionali, produzione).

L'azienda nota come il 2021 sia stato l'anno in cui, ancor più che in passato, gli attacchi informatici sono diventati mainstream e sono stati trattati ampiamente dagli organi di informazione, dato che hanno riguardato società od organizzazioni molto in vista e hanno avuto un impatto particolarmente significativo sulle nostre vite.

Dopo tale momento di attenzione e di allarme, però, la situazione sembra essersi quietata parecchio. Se il 64% dei CISO (sia in Italia, sia in media a livello globale) riteneva la propria azienda a rischio di attacco entro 12 mesi nel 2021, quest'anno tale cifra scende al 46% (48% a livello globale). Un "rilassamento" che viene rilevato anche nella percezione del livello di preparazione della propria azienda ad affrontare attacchi: nel 2021 era il 66% a ritenere l'azienda impreparata, quest'anno è solo il 50%; in Italia il dato è crollato drasticamente dal 63% al 42%.

Ciò rivela ancora una volta come molte aziende, e in particolare quelle in Italia, lavorino su base emergenziale e non, invece, con programmi di lungo periodo che permettono di affrontare meglio le avversità. Spesso si procede sull'onda anche emotiva del momento, destinando molti fondi alla sicurezza in un momento di emergenza (magari perché si è subito un attacco), trovandosi poi a dover fare i conti con meno fondi gli anni successivi e senza, dunque, i mezzi necessari e adeguati ad affrontare le sfide quotidiane.

Dipendenti, telelavoro e scarsità di professionisti qualificati

La maggior parte dei CISO a livello mondiale (60%; in Italia 51%) ritiene che i dipendenti comprendano di avere un ruolo importante nella protezione dell'azienda dai cyberattacchi. Dall'altro lato, però, è noto che siano proprio gli errori umani a costituire uno dei principali problemi (basti pensare al phishing, tuttora uno dei vettori di attacco più usati e di maggiore successo); nonostante ciò, appena il 56% dei CISO a livello globale e il 43% in Italia ritiene gli errori dei propri dipendenti la più grande vulnerabilità aziendale.

Una piccola nota è da dedicare alla citazione all'interno del rapporto d'indagine di una pubblicazione del World Economic Forum, secondo la quale il 95% dei problemi di sicurezza sarebbe da attribuire a errori umani. Tale pubblicazione cita a sua volta un articolo pubblicato sul sito dello stesso WEF, il quale però non riporta fonti per questa affermazione e cita genericamente degli "studi". Il Wall Street Journal riporta una stima di Gartner che concorda con tale numero, per quanto limitatamente all'ambito del cloud, ma in mancanza di fonti certe a cui fare riferimento è bene prendere tale cifra cum grano salis - o magari anche con una manciata.

Durante la presentazione per la stampa dell'indagine abbiamo chiesto a Proofpoint quanto il fatto che gli strumenti dati ai lavoratori siano complessi da usare o inadeguati incida sul livello di sicurezza; Antonio Ieranò, Evangelist-Cyber Security Strategy & Senior SE, ci ha confermato che questi aspetti sono importanti, ma che spesso il problema risieda anche nella scarsa (o addirittura assente) formazione che viene data alle persone circa l'uso di tali strumenti, nonché nella presenza di silos anche a livello di strumenti in uso dalle varie parti dell'azienda.

Il passaggio a un modello di lavoro ibrido o da remoto ha presentato ulteriori sfide ai CISO e il fenomeno delle cosiddette "Grandi Dimissioni" ha reso il loro lavoro ancora più difficile. Se il primo punto ha ampliato la superficie d'attacco e reso più difficile proteggere i dispositivi, dall'altro lato il fatto che i dipendenti si dimettano fa sì che ci siano rischi concreti di sicurezza (con persone infedeli che trafugano dati o espongono volontariamente l'azienda a rischi) così come una maggiore difficoltà a ottenere le competenze necessarie, in particolare in ambiti come la sicurezza informatica stessa che soffrono da tempo di grosse carenze. Dall'altro lato, però, le Grandi Dimissioni stanno portando molte aziende ad affidarsi a servizi esterni per la gestione della propria sicurezza, fatto che in generale ne sta migliorando il livello.

Il ransomware è ancora una delle maggiori preoccupazioni

I ransomware restano uno dei mezzi di attacco preferiti dai cybercriminali e, a testimonianza di ciò, nell'anno passato gli attacchi di questo tipo sono incrementati del 150%, mentre le richieste di riscatto medie sono raddoppiate, così come il riscatto più alto.

La maggiore attenzione mediatica di cui parlavamo in precedenza è stata, secondo il 56% dei CISO, fondamentale per rendere i dirigenti maggiormente consapevoli della minaccia e, dunque, per spingerli ad agire di conseguenza.

Ben quattro aziende su dieci, a livello globale, non hanno un programma per rispondere al ransomware, mentre il 59% dei CISO afferma di privilegiare la prevenzione rispetto al rilevamento. Si tratta di un dato difficile da interpretare, considerando che sempre più specialisti affermano che il rilevamento sia in realtà fondamentale in un momento storico in cui la prevenzione totale appare sempre meno possibile. Significativo anche il fatto che il 58% dei CISO nel mondo (52% nel nostro Paese) confidi nel fatto che le polizze assicurative rifonderanno l'azienda dei danni subiti in caso di attacco.

Un aspetto che Proofpoint ha evidenziato è che nel nostro Paese il pagamento del riscatto è a tutti gli effetti illegale e, pertanto, chi dovesse effettuarlo rischia di dover fare i conti con problemi ancora maggiori.

Il contrasto tra dirigenza e CISO

L'indagine di Proofpoint svela altresì come, passato il momento d'emergenza dettato dalla pandemia e dalla maggiore pubblicità data agli attacchi informatici, ci sia una crescente distanza tra i CISO e il consiglio di amministrazione delle aziende. Nel 2022 appena il 34% dei CISO italiani è infatti d'accordo con il CdA della propria azienda, contro il 56% del 2021.

Dall'altro lato, è interessante notare come in Italia le principali preoccupazioni dei CdA siano i danni alla reputazione e la perdita di clienti, seguiti a ruota dal fermo delle attività per tempi prolungati, contrariamente a Paesi come Francia, Regno Unito e Stati Uniti dove è l'impatto sul valore dell'azienda. Nell'ottica di uno sviluppo a lungo termine e di valore per l'azienda stessa, l'approccio italiano appare più equilibrato e sensato.