L’85% dei 138 CSO/CISO appartenenti a diversi settori industriali in Italia interpellati di recente da Proofpoint, ritiene che i dipendenti possano rendere la propria azienda più vulnerabile a un attacco informatico.
Stando ai numeri emersi dall’indagine realizzata in collaborazione con la community Facciamo sistema – Cybersecurity e dedicata al rapporto delle aziende italiane con la cybersecurity, con un focus specifico sui dipendenti, emerge, infatti, che il 52% delle aziende italiane ha subito almeno un attacco informatico nel 2019 e addirittura il 41% ha segnalato più incidenti.
La ricerca ha messo in luce come il 50% dei CISO ritiene che la mancanza di consapevolezza sulle minacce informatiche sia la sfida più grande, mentre il 39% ritiene che la propria azienda debba investire di più nella formazione e nella sensibilizzazione.
Non a caso, alla domanda su come i dipendenti possano rendere la loro azienda vulnerabile agli attacchi informatici, i CISO italiani hanno indicato la possibilità di farsi colpire delle email di phishing (67%) e di cliccare su link dannosi (63%), seguiti da una cattiva gestione delle informazioni sensibili (46%). Non solo: lo studio mostra anche un forte scollamento tra visione e realtà, quando si parla di consapevolezza e formazione in materia di cybersecurity.
Alla domanda sulle maggiori sfide della loro organizzazione nell’implementazione della tecnologia di sicurezza informatica, il 57% dei CISO ha evidenziato una mancanza significativa nelle competenze e nella formazione in tema di cybsercurity.
Meno del 20% delle aziende italiane fa formazione continua
Sebbene siano assolutamente al corrente dell’importanza fondamentale della formazione e della consapevolezza (il 93% è d’accordo, l’83% addirittura “fortemente” d’accordo), il 65% dei CISO italiani ha ammesso di formare i propri dipendenti sulla consapevolezza della sicurezza informatica una volta all’anno o meno, addirittura il 17% dichiara non effettuare mai alcuna formazione. E quello che è probabilmente peggio, solo il 17% delle imprese ha un programma di formazione continua.
Il phishing è stato la tipologia di attacco più spesso registrato dalle aziende italiane nel 2019 (39%), seguito da Business Email Compromise (28%), Insider threat e credential phishing, entrambi al 22%. Anche l’emergenza COVID-19 ha avuto i suoi effetti, con il 26% delle imprese italiane che hanno ammesso un aumento del numero di attacchi legati alla pandemia.
Gli attacchi informatici possono avere un impatto finanziario e d’immagine devastante e di vasta portata per le imprese. I CISO italiani hanno evidenziato che i danni al brand e alla reputazione sono il principale pericolo legato alla cybersecurity (87%), seguiti dalla perdita di dati (80%) e dalle interruzioni dell’attività e dell’operatività (74%).
I CISO sono ben consapevoli del fatto che investire in una solida difesa informatica è fondamentale, poiché il 76% di loro vorrebbe avere un budget più elevato per la sicurezza informatica. In generale, i CISO sono abbastanza fiduciosi (63%) che la loro azienda sia ben preparata ad affrontare gli attacchi informatici, e il 59% di loro si fida effettivamente delle soluzioni e delle tecnologie di cui dispone.
Serve un collante tra i CISO e il resto dell’azienda
Se le tecnologie sono viste dai CISO con fiducia, la situazione appare potenzialmente più problematica all’interno dell’organizzazione, con un netto scollamento tra il consiglio di amministrazione e il personale IT. Mentre il 52% dei CISO è d’accordo sul fatto che la sicurezza informatica rappresenti una priorità per il consiglio d’amministrazione, solo il 21% ritiene che i suoi membri siano ben preparati e in grado di comprendere le tecnologie necessarie per implementare le difese adatte in tema di cybersecurity. Al contrario, il 54% dei CISO si fida del proprio staff di sicurezza e della sua capacità di affrontare i temi della sicurezza informatica.
Dal punto di vista organizzativo, i CISO sono sempre più coinvolti a livello di consiglio di amministrazione, e contribuiscono a discutere il budget della sicurezza informatica nel 56% delle organizzazioni italiane, con il consiglio esecutivo coinvolto nel 55% dei casi.
Come riferito in una nota ufficiale da Luca Maiocchi, Country Manager di Proofpoint per l’Italia: «Una strategia incentrata sulle persone è necessaria per le organizzazioni in Italia, poiché i cybercriminali si rivolgono sempre più ai singoli individui piuttosto che alle infrastrutture, con l’obiettivo di rubare credenziali, assumere il controllo di dati sensibili e trasferire fondi in modo fraudolento. Con la nostra ricerca che rivela come l’85% dei CISO italiani ritenga che i propri dipendenti rendano il proprio business vulnerabile agli attacchi informatici, formazione e consapevolezza sulla cybersecurity, a fianco delle soluzioni tecnologiche più avanzate che fanno parte dell’offerta Proofpoint, si confermano priorità fondamentali in grado fare la differenza tra un attacco tentato e uno effettivamente subito. Insieme alle tecnologie e ai processi, un programma strutturato di formazione dovrebbe essere al centro della difesa informatica di ogni organizzazione».