Proofpoint: due CISO su tre considerano la propria azienda impreparata ad affrontare una minaccia informatica

Proofpoint ha presentato il suo rapporto Voice of the CISO 2021, realizzato intervistando 1.400 CISO di aziende con almeno 200 dipendenti in 14 Paesi: Stati Uniti, Canada, Regno Unito, Francia, Germania, Italia, Spagna, Svezia, Paesi Bassi, Emirati Arabi, Arabia Saudita, Australia, Giappone e Singapore.

Quello che emerge è che la maggior parte degli intervistati (66%) indica che l'azienda per cui lavora non è preparata a fronteggiare un attacco informatico.

Il Covid ha messo a dura prova i CISO

Il 2020 è stato un anno molto difficile per i tutti, inclusi i CISO, i Chief Information Security Operation Officer, quelle figure aziendali chiamate a definire le strategie per la protezione degli asseti aziendali e limitare il rischio di attacchi informatici. 

Con il ricorso allo smart working e l'aumento degli attacchi informatici, i CISO si sono trovati a fronteggiare una complessità senza precedenti. Il clima è di sfiducia, tanto che 2 su 3 considerano l'azienda in cui lavorano impreparata ad affrontare un'emergenza e il 64% si sente a rischio di attacco. 

Ma quali sono i pericoli più temuti? A livello globale, quello che più spaventa i CISO sono le e-mail fraudolente, seguite dalla compromissione degli account cloud e, in ordine di importantanza, da fughe di dati interne (siano esse dovute per errore umano o a dipendenti infedeli), attacchi DDoS, attacchi alla supply chain, ransomware o phishing. 

Leggermente differente la situazione per i CISO italiani, che mettono al primo posto la compromissione degli account cloud, seguito dai DDoS e dalla compromissione delle e-mail aziendali. 

Il ransomware, contrariamente a quanto si può pensare, non è al primo posto nelle preoccupazioni. Il motivo lo spiega Andrew Rose, CISO di Proofpoint, che sottolinea come secondo un'indagine dell'FBI i danni economici derivanti dalla compromissione degli account e-mail aziendali sono 60 volte superiori a quelli di un ransomware, in media. Eppure, l'attenzione dei media è concentrata soprattutto su questi ultimi. 

Per la metà dei CISO italiani il fattore di rischio principale è l'errore umano

Fra i principali timori dei CISO italiani c'è quello che una violazione possa scaturire da un errore umano. Sono infatti preoccupati che gli utenti aziendali possano utilizzare password insicure o riutilizzare le credenziali su più servizi o, ancora peggio, trafugare informazioni riservate. 

Rose, però, non condivide questo timore, sostenendo che non è corretto dire che sia l'uomo l'anello più debole della catena. È vero che il 90% circa delle violazioni parte da una mail di phishing o dal social engineering, ma questo secondo il CISO di Proofpoint è inevitabile: "I criminali guardano alle persone, non alla tecnologia. Se la maggior parte delle violazioni avvengono via e-mail, è perché è uno degli strumenti maggiormente presi di mira". 

La pandemia ha aumentato il numero di attacchi informatici

Che durante la pandemia gli hacker abbiano incrementato le loro attività lo abbiamo sottolineato più volte su Edge9, e a livello globale il 58% dei CISO (percentuale identica per l'Italia, che è perfettamente nella media) condivide questa affermazione. 

Come spiega Rose, però, non c'è da stupirsi di questo: l'emergenza sanitaria ha spinti moltissime azienda a dotarsi velocemente di nuove tecnologie, tecnologie che inizialmente non padroneggiavano a pieno, fatto che ha spinti gli attaccanti a sfruttare l'occasione per violare i sistemi informatici di molte realtà. 

I CISO sentono la pressione e ritengono che ci siano troppe aspettative sul loro ruolo

Un aspetto che colpisce è che la maggior parte (57%) dei CISO a livello globale ritiene che il peso ricada tutto sulle loro spalle. Un dato che deriva anche dallo stress cui sono stati sottoposti nello scorso anno.

Qui, però, l'Italia è sotto la media: solo il 48% dei CISO italiani condivide questa visione. Il motivo di tale ottimismo secondo Rose è da ricercare nel fatto che gli intervistati del Bel Paese si aspettano un incremento del budget destinato alla sicurezza, ma anche dal fatto che si stanno portando avanti nuove iniziative, soprattutto quelle relative alla formazione del personale (dipendenti, ma anche dirigenti), che creano consapevolezza e sotto un certo profilo "semplificano" il ruolo dei responsabili di sicurezza.