Proofpoint e il consorzio di ricerca interdisciplinare Cybersecurity at MIT Sloan (CAMS) hanno pubblicato il report Cybersecurity: The 2022 Board Perspective, che analizza le percezioni dei consigli di amministrazione in merito alle principali sfide e rischi di sicurezza.
Il report Cybersecurity: The 2022 Board Perspective esamina le risposte di un’indagine globale indipendente condotta su 600 membri dei consigli di amministrazione di organizzazioni con 5.000 o più dipendenti di diversi settori. Nell’agosto 2022, sono stati intervistati 50 dirigenti in ogni mercato di 12 Paesi: Stati Uniti, Canada, Regno Unito, Francia, Germania, Italia, Spagna, Australia, Singapore, Giappone, Brasile e Messico.
Il report analizza tre aree chiave: le minacce e i rischi informatici che i consigli di amministrazione devono affrontare; il loro livello di preparazione per combatterle e l’allineamento con i CISO anche sulla base delle opinioni dei CISO rilevate da Proofpoint all’interno del report Voice of the CISO 2022. È stato riscontrato un evidente scollamento tra le due parti per quanto riguarda rischi, conseguenze e minacce informatiche.
La cybersecurity è dominante nelle agende dei CdA, con il 77% degli intervistati che la ritiene una priorità assoluta e il 76% che ne discute almeno su base mensile. Di conseguenza, secondo il 75% degli intervistati i consigli di amministrazione comprendono chiaramente i rischi sistemici che le loro organizzazioni devono affrontare e il 76% afferma di aver già effettuato investimenti adeguati nella sicurezza IT.
Tuttavia, questo ottimismo potrebbe essere mal riposto. Il report ha rilevato che quasi due terzi (65% a livello globale, 60% in Italia) dei membri dei consigli di amministrazione ritengono che la loro organizzazione sia a rischio di attacchi informatici materiali nei prossimi 12 mesi e la metà circa pensa che la propria azienda sia impreparata a far fronte a un attacco mirato – si tratta del 47% a livello globale, che diventa il 52% in Italia. Inoltre, solo due terzi considerano l’errore umano come la principale vulnerabilità informatica, nonostante il World Economic Forum abbia indicato questo rischio all’origine del 95% di tutti gli incidenti di cybersecurity.
Come sottolineato in una nota ufficiale da Lucia Milică, vicepresident e global resident CISO di Proofpoint: «È incoraggiante vedere come la cybersecurity sia finalmente al centro della discussione nei consigli di amministrazione. Tuttavia, il nostro report evidenzia come ci sia ancora molta strada da fare per comprendere il panorama delle minacce e preparare le loro organizzazioni ad affrontare i cyberattacchi. Uno dei modi in cui i consigli di amministrazione possono aumentare la preparazione è quello di operare a stretto contatto con i loro CISO. La relazione tra board e CISO è fondamentale per la protezione di persone e dati, con ogni parte che deve impegnarsi per una comunicazione più efficace e uno sforzo collaborativo al fine di garantire il successo dell’organizzazione».
Il report mette in luce le tendenze globali e le differenze settoriali e geografiche tra i responsabili aziendali.
I principali risultati globali mostrano alcuni aspetti molto chiari:
- Esiste uno scollamento tra consigli di amministrazione e CISO nel valutare il rischio creato da criminali informatici sempre più sofisticati: Il 65% dei membri del consiglio di amministrazione ritiene che la propria organizzazione sia a rischio di attacco informatico materiale nei prossimi 12 mesi, rispetto al 48% dei CISO. In Italia la situazione è più o meno allineata, con il 60% dei membri del consiglio di amministrazione preoccupati, contro il 46% dei CISO.
- Consigli di amministrazione e CISO hanno preoccupazioni simili in merito alle minacce da affrontare: in Italia, i membri dei consigli di amministrazione in Italia hanno identificato frodi via e-mail e compromissione della posta elettronica aziendale (BEC) come la loro principale preoccupazione (40%), seguita da DDoS (Distributed Denial of Service) (36%) e dalla compromissione degli account cloud (32%). I CISO italiani hanno invece indicato minacce interne, smishing/vishing e frodi e-mail/BEC nell’ordine come loro principali preoccupazioni.
- Consapevolezza e finanziamenti non si traducono in preparazione: nonostante il 75% degli intervistati ritenga che il proprio consiglio di amministrazione comprenda il rischio sistemico dell’organizzazione, il 76% di aver investito adeguatamente nella cybersecurity, il 75% che i propri dati siano adeguatamente protetti e il 76% di discutere di cybersecurity almeno mensilmente, questi sforzi appaiono insufficienti: il 47% ritiene ancora che la propria organizzazione non sia pronta a far fronte a un attacco informatico nei prossimi 12 mesi, con una percentuale che in Italia arriva addirittura al 52%.
- Membri dei consigli di amministrazione e CISO divergono sulle conseguenze più importanti di un incidente informatico: La perdita di fatturato e l’interruzione delle attività sono in cima alla lista delle preoccupazioni dei consigli di amministrazione italiani (38%), in netto contrasto con la percezione dei CISO, che si dichiarano più preoccupati dei danni alla reputazione e della perdita di clienti attuali.
- L’elevata consapevolezza dei dipendenti non protegge dall’errore umano: sebbene il 76% degli intervistati ritenga che i dipendenti comprendano appieno il loro ruolo nella protezione dell’organizzazione dalle minacce, il 67% dei membri del consiglio di amministrazione (il 62% in Italia) ritiene che l’errore umano sia ancora la più grande vulnerabilità informatica.
- La relazione tra consigli di amministrazione e CISO può essere migliorata: c’è una forte differenza di prospettiva tra loro, particolarmente acuta in Italia: qui il 74% dei membri del consiglio di amministrazione dichiara di confrontarsi in modo diretto con il proprio CISO, ma solo il 34% dei CISO la pensa allo stesso modo. A livello globale le percentuali sono del 69% contro il 51% a testimonianza di un rapporto sicuramente più paritario.
- I consigli di amministrazione sono favorevoli alla supervisione normativa: l’80% degli intervistati (il 78% in Italia) concorda sul fatto che le organizzazioni dovrebbero essere tenute a segnalare un attacco informatico rilevante alle autorità di regolamentazione entro un lasso di tempo ragionevole – solo il 6% (8% in Italia) non è d’accordo.
Come concluso da Keri Pearlson, executive director di Cybersecurity del MIT Sloan (CAMS): «I membri dei consigli di amministrazione svolgono un ruolo fondamentale nella postura di sicurezza complessiva delle proprie aziende, come pure nella relativa cultura, e hanno una responsabilità fiduciaria e di supervisione. Per questo motivo, devono comprendere le minacce IT da affrontare e la strategia in atto per essere resilienti dal punto di vista informatico. I membri dei consigli di amministrazione devono cercare il modo di rendere i CISO loro partner strategici. Con il rischio di cybersecurity in primo piano nelle agende dei consigli di amministrazione, un migliore allineamento delle priorità di CISO e board in materia di sicurezza non potrà che migliorare la protezione e la resilienza delle loro organizzazioni».