Proofpoint racconta la security, un anno vissuto da CISO
Il report Voice of the CISO 2022 di Proofpoint ha evidenziato i trend generali e le differenze regionali nella community globale dei Chief Information Security Officer.
Giunto al suo secondo anno, il report Voice of the CISO 2022 di Proofpoint ha evidenziato i trend generali e le differenze regionali nella community globale dei Chief Information Security Officer che, dopo un 2020 di sconvolgimenti senza precedenti, hanno trascorso il 2021 a fare i conti con le nuove modalità di lavoro.
Ora che sono alle spalle la fase iniziale di implementazione del cloud e dei modelli ibridi e il ripristino delle attività abituali, molti sembrano sentire di avere maggior controllo del loro ambiente.
Unastrategia più coerente
Le misure di emergenza hanno lasciato il posto a una strategia più coerente. Sono stati introdotti nuovi moduli di formazione, controlli tecnici e policy, specificamente creati per i team più distribuiti e dipendenti dal cloud di oggi. “Di conseguenza – spiega Luca Maiocchi, country manager di Proofpoint, Italia – meno della metà dei CISO intervistati (48% del globale e il 46% di quelli italiani) ritiene che la propria azienda corra il rischio di subire un attacco informatico nei prossimi 12 mesi, rispetto al 64% dell’anno scorso”.
Più in dettaglio, il 56% dei CISO nei settori IT, tecnologia e telecomunicazioni ritiene verosimile la possibilità di subire un attacco informatico. La percentuale è la più elevata tra tutti i settori verticali coinvolti nello studio, segue il manifatturiero (54%). Il retail è il più ottimista tra tutti i settori verticali presi in esame: il 33% degli intervistati ritiene improbabile che gli attacchi contro le proprie aziende possano causare danni significativi, rispetto al solo 5% dello scorso anno.
La crescente familiarità con l’ambiente di lavoro post-pandemia ha reso i CISO più fiduciosi nel contrastare le minacce informatiche. Mentre nel 2021 il 66% riteneva di non essere preparato per affrontare un attacco mirato alla security, questa percentuale è scesa al 50% quest’anno. Nella maggior parte dei casi, la maggior fiducia dei CISO è probabilmente il risultato dell’aver superato con successo un evento straordinario, piuttosto che un cambiamento tangibile nei livelli di rischio o di preparazione. Inoltre, rimane il fatto che la metà dei CISO di tutto il mondo ritiene che la propria azienda non sia pronta a rilevare, neutralizzare una minaccia e a ripristinare le attività a seguito di un attacco andato a segno.
Rischio percepito e livello di preparazione
C’è anche un inquietante divario tra il rischio percepito e il livello di preparazione. Molti CISO sono apparentemente consapevoli del problema, ma non sono in grado (o non vogliono) implementare una soluzione efficace e faticano a identificare quale delle molte minacce comuni potrebbe colpire. “Mentre il panorama delle minacce continua a svilupparsi e a evolvere – aggiunge Maiocchi –, abbiamo interpellato ancora una volta i CISO per sapere quali metodi di attacco informatico alla security IT li preoccupano maggiormente. Come l’anno scorso, i risultati dimostrano una preoccupante mancanza di visibilità sulle minacce che devono affrontare. Tra le più diffuse, le minacce interne, come utenti negligenti o malintenzionati (31%), violazione dell’e-mail aziendale (BEC, Business Email Compromise 30%), violazione degli account cloud (30%) e attacchi di negazione dei servizi distribuiti (DDoS, 30%). Nel contempo, la preoccupazione per il ransomware è aumentata solo di 1 punto percentuale rispetto all’anno scorso, nonostante si siano avuti diversi attacchi di alto profilo negli ultimi 12 mesi”.
Gli effetti del lavoro a distanza
Con due anni di telelavoro all’attivo, la maggior parte dei CISO ritiene che i dipendenti comprendano il ruolo che giocano nella protezione dell’azienda contro le minacce alla security IT. Complessivamente, tre intervistati su cinque “concordano” con questa affermazione, rispetto al 58% dello scorso anno. Circa un quarto, ovvero il 24%, è “totalmente d’accordo”. Questo aumento può essere in buona parte attribuito alla comprensione da parte dei dipendenti delle misure adottate per supportare i modelli di telelavoro e lavoro ibrido sul lungo termine.
Negli ultimi due anni, molte aziende hanno investito in protezioni e formazione sulla security informatica incentrate sulle persone. Data la dispersione della forza lavoro, si pone meno enfasi sulla protezione del data center o della rete dell’ufficio. “I CISO si rendono conto che ora il perimetro è rappresentato dagli utenti e si stanno attrezzando per proteggerli di conseguenza”.
Il 56% dei CISO ritiene che l’errore umano sia la più grande vulnerabilità informatica della propria azienda. “Il fatto – ha dichiarato Antonio Ieranò, evangelist cyber security strategy di Proofpoint – che il 60% dei CISO ritenga che gli utenti comprendano le loro responsabilità in materia di sicurezza e che il 56% pensi che siano la principale minaccia informatica, è preoccupante per diversi motivi. Suggerisce che molti CISO sanno che la maggior parte degli utenti non dispone di sufficienti competenze per difendersi dalle minacce informatiche. Secondo il World Economic Forum, il 95% dei problemi legati alla security informatica è imputabile a un errore umano, a sottolineare che molti CISO ancora sottovalutano in modo significativo il livello di rischio posto dai loro utenti”.
Solo il 38% dei CISO dell’Arabia Saudita ritiene che i loro dipendenti siano la principale vulnerabilità informatica della loro azienda, seguiti da Italia (43%) e Giappone (46%). La situazione è simile nel settore dell’istruzione, dove solo il 47% ritiene che gli utenti siano il rischio più significativo.
All’altra estremità dello spettro, i CISO che operano nel settore dei servizi professionali e dei servizi per le aziende e in quello della produzione registrano le percentuali più elevate, rispettivamente con il 61% e il 60%.
Negli ultimi 12 mesi i comportamenti sono cambiati tra i CISO del settore sanitario. Quest’anno poco più della metà (52%) ritiene che i dipendenti mettano a rischio la loro azienda rispetto al 48% nel 2021. Il contrario è vero nel settore dei servizi finanziari, dove il 52% ora ritiene che i dipendenti siano il principale rischio informatico, in calo rispetto al 61% dell’anno scorso.
La prima fonte di preoccupazione per i CISO italiani
Quest’anno, le minacce interne – siano esse negligenti, accidentali o criminali – rappresentano la prima fonte di preoccupazione per i CISO italiani al 34%, seguite da attacchi smishing e vishing (33%) e dalle frodi via e-mail (Business Email Compromise) al 30%. Nonostante sia stato protagonista indiscusso nelle notizie di cronaca, il ransomware è aumentato solo di 1 punto percentuale rispetto allo scorso anno, al 28%.
Anche la crescente familiarità con l’ambiente di lavoro post-pandemia ha permesso ai CISO di sentirsi maggiormente preparati ad affrontare le minacce IT. “Nel 2021 – ha commentato Maiocchi – il 63% dei CISO italiani non si riteneva sufficientemente preparato per un attacco mirato, quest’anno la percentuale è scesa al 42%”.
Ancora limitata la formazione dei dipendenti
Il 51% degli intervistati italiani ritiene che i dipendenti comprendano il loro ruolo nella protezione dell’azienda dalle minacce e solo il 43% dei CISO considera l’errore umano la più grande vulnerabilità informatica della loro organizzazione, ben al di sotto della media globale del 56%. Nell’ultimo anno, solo il 40% dei CISO italiani intervistati ha aumentato la frequenza della formazione sulla sicurezza informatica per i dipendenti.
Con i dipendenti che rappresentano ora il perimetro difensivo in qualsiasi luogo lavorino, il 37% dei CISO italiani concorda sul fatto di aver osservato un aumento degli attacchi mirati negli ultimi 12 mesi. Quasi la metà (48%) afferma che il maggiore turnover di dipendenti ha reso la protezione dei dati una sfida maggiore. Alla domanda relativa a come i dipendenti fossero più propensi a causare una violazione dei dati, i CISO italiani hanno indicato come vettore più probabile gli attacchi insider compromessi, in cui i dipendenti espongono inavvertitamente le loro credenziali, fornendo accesso a dati sensibili ai cybercriminali.
Il ransomware una priorità per le aziende
I recenti attacchi di alto profilo hanno reso il ransomware una priorità nelle agende aziendali, con il 52% dei CISO italiani che ha rivelato di aver stipulato un’assicurazione cyber e il 53% che si concentra sulla prevenzione rispetto a strategie di detection e response. Nonostante l’aumento della posta in gioco, tuttavia, un preoccupante 45% dei CISO ammette di non avere in atto una policy di pagamento del riscatto.
