Per il 94% dei CISO italiani, il fattore umano è una delle principali preoccupazioni per la sicurezza aziendale. Lo ha riscontrato la community Cybersecurity Digital Club – una community per fare sistema in uno studio che ha realizzato per conto di Proofpoint tra settembre e ottobre 2022 e che ha coinvolto 103 CISO di diversi settori industriali in Italia. “Da evidenziare – ha sottolineato Massimo Angiulli responsabile prevendita di Proofpoint Italia – che tra la rappresentanza di CISO che ha partecipato al “Voice of the CISO 2022” uscito in maggio, una percentuale poco sotto il 50% riteneva la persona fosse una delle princiali vulnerabilità dell’azienda. A distanza di qualche mese la percezione è radicalmente cambiata”. Vediamo perché.
Non solo malintenzionati, soprattutto utenti negligenti
I CISO italiani ritengono cha siano molti i modi in cui i dipendenti possono rendere più vulnerabile l’azienda, dalla tendenza a cliccare su link pericolosi (80%) all’utilizzo in modo incontrollato di dispositivi USB (65%), dal download di allegati e file da fonti sconosciute (57%) alla condivisione di informazioni personali con fonti esterne (57%).
Tuttavia, in queste azioni non c’è per forza dolo. In molti casi, il rischio nasce da una scarsa attenzione generale alla sicurezza, con il 47% dei dipendenti che condivide le credenziali del proprio account e il 39% che permette a familiari e amici di utilizzare i dispositivi aziendali.
La scarsa attenzione alla sicurezza costringe le imprese a pagare un tributo importante: tra le organizzazioni che ammettono di aver subito un cyberattacco, in quasi due terzi dei casi la responsabilità è da attribuire a insider negligenti o criminali.
L’impatto registrato dalle organizzazioni colpite è stato significativo, andando anche oltre la semplice perdita finanziaria, comunque riportata dal 38% dei CISO. Una percentuale ancora più alta, il 50%, ha indicato il danno di reputazione come principale risultato di una violazione, mentre il 25% ha citato la perdita di dati critici per l’azienda.
Cresce la formazione, ma troppe aziende sono ancora senza regole specifiche
I CISO italiani stanno prendendo sul serio la questione del rischio legato alle persone, con la stragrande maggioranza che ha messo in atto protocolli per combattere le minacce derivanti dal loro comportamento. In particolare, la quasi totalità delle aziende (96%) ha intrapreso iniziative mirate a identificare minacce basate sull’email. Altre misure adottate includono formazione sulla gestione delle password (88%) e sulle best practice di sicurezza (80%). Solo il 4% dei CISO ammette di non avere un programma di formazione continua sulla sicurezza informatica.
In termini di sicurezza complessiva, il 65% dei CISO ha adottato tecnologie dedicate per controllare e gestire le minacce interne, mentre il 33% ha predisposto un piano di risposta all’insider risk. Sebbene questi dati siano ampiamente positivi, un terzo delle organizzazioni italiane rimane senza strumenti specifici per le minacce interne e un quinto senza alcuna forma di protocollo specifico.
Anche la visibilità e l’accesso alle informazioni sensibili sono fonte di preoccupazione. È certamente positivo che il 71% dei CISO dichiari di compartimentare questo tipo di dati e di limitarne l’accesso a determinati dipendenti, ma le buone notizie finiscono qui. Solo il 43% dei CISO monitora regolarmente l’accesso ai dati da parte degli utenti, mentre il 24% non ha una buona visibilità dei luoghi in cui vengono archiviati.
Servono nuove tecniche di prevenzione
“Le tecniche legacy che prevedevano una protezione funzione dell’attività non vanno più bene – ha sostenuto Emiliano Massa, Area Vice President della regione Southern Europe di Proofpoint –. Oggi è basilare capire il contesto, perché è intimamente legato al rischio. Questo fa sì che un’azione totalmente lecita e sicura in un certo processo diventi cirtica e fonte di alto rischio se eseguita in un’altra situazione. E lo scopo finale di chi si occupa di sicurezza è ridurre il rischio non fare delle policy”.
“I dati non si perdono da soli, sono le persone a perderli – ha proseguito Emiliano Massa –. Vengono rubati da un aggressore esterno tramite credenziali compromesse, inoltrati a una terza parte non autorizzata da un utente disattento o rubati da un dipendente malintenzionato che spesso li passa a un concorrente. Oggi ci si trova a dovere difendere i dati aziendali da minacce interne, proteggendo le persone che li trattano regolarmente, con processi di formazione e misure tecniche adeguate”.
“Un attacco sferrato tramite credenziali compromesse è il rischio più grande che può correre un’azienda oggi – ha precisato Massimo Angiulli –. Non si ha infatti la consapevolezza dell’attacco che si sta subendo perché gli attaccanti stanno usando come strumento un account lecito. Noi stiamo vedendo un grandissimo aumento di questo tipo di attacchi. E molti raggiungono l’obiettivo. È vero che gli utenti stanno diventanto più resilienti, ma quando gli attacchi sono sferrati usando credenziali compromesse, quindi tramite account ritenuti sicuri, non si hanno avvisaglie dell’azione malevola”.
Lavoro ibrido e cloud, nuove minacce per la sicurezza
La forte adozione del lavoro ibrido e il crescente utilizzo di piattaforme cloud, accelerato ulteriormente dall’impatto della pandemia nel corso degli ultimi due anni, hanno peggiorato ulteriormente la situazione a livello di sicurezza, riducendo, secondo il 22% degli intervistati, la visibilità dei CISO su chi accede ai dati e da dove.
Con il 90% degli attacchi informatici che richiede un’interazione umana per avere successo, sempre più spesso i cybecriminali puntano sulle persone per farsi aprire la porta dell’azienda, con un clic o un download incauto. I CISO italiani ne sono evidentemente consapevoli, identificando correttamente i rischi elevati per le persone e formando gli utenti sulle minacce più pericolose e prevalenti. Tuttavia, la strada da percorrere è ancora lunga.
Nonostante l’aumento del rischio di perdita di dati, il report mostra che purtroppo solo il 43% dei CISO italiani dichiara di disporre di un agent specifico di Data Loss Prevention (DLP). Il 14% addirittura ammette di non avere alcun tipo di protocollo o tecnologia preventiva dalla perdita di dati.
“Nel mondo della security esiste un colossale pregiudizio confermativo – ha concluso Davide Galeni, CISO Aon, che ha presentato l’indagine –. Se si verificano gli incidenti le aziende aprono il portafogli, se non si verificano gli incidenti la cyber è un costo inutile. Questo comporta una perdita di visibilità su quello che avviene perché le aziende sono molto abili nel rimediare a un incidente e mettere in pratica delle risposte valide, ma sono molto meno abili nel rilevare un attacco prima che manifesti i suoi nefasti effetti. Questo perché aziende e organizzazioni, ma anche Pubbliche amministrazioni, non rendono disponibili le risorse necessarie per rilevare anomalie e attacchi”.