Se la tecnologia può aiutare a proteggere contro molte minacce, l’elemento umano rimane un fattore critico. Ne dà evidenza Proofpoint, Inc., tra le primarie realtà a livello mondiale nel settore della cybersecurity e della compliance, nel suo report annuale Voice of the CISO, che analizza sfide, aspettative e priorità principali riportate dai Chief Information Security Officer (Ciso) di tutto il mondo.
Relativamente al nostro Paese, dal Report emerge che quest'anno è aumentato sensibilmente il numero di Ciso italiani che considerano l'errore umano come la principale vulnerabilità informatica della propria organizzazione: il 72% rispetto al 48% del 2023. Tuttavia, c'è un crescente ottimismo nel ruolo delle soluzioni basate sull'intelligenza artificiale per mitigare i rischi incentrati sull'uomo, con l'80% dei Ciso in Italia che si orienta verso difese basate sull'AI.
Un altro elemento da evidenziare è la tendenza a un cambiamento significativo nel panorama della sicurezza: nonostante i timori di attacchi informatici continuano ad aumentare, i Ciso dimostrano crescente fiducia nella loro capacità di difendersi da queste minacce.
Errore umano: come e perché
Posto che l’errore umano è considerato una minaccia crescente per la cybersecurity di tutte le aziende, piccole o grandi, la causa può essere dovuta a distrazione, incompetenza o atto volontario. Ci sono diversi tipi di errori umani che possono esporre un’azienda al cybercrime, tra cui:
- Password: l’utilizzo di password deboli o condivisione di password tra gli utenti rappresenta un rischio per la sicurezza dei sistemi. Anche la mancanza di aggiornamento regolare e l’assenza dell’autenticazione a due fattori indeboliscono la sicurezza.
- Phishing: gli utenti che aprono e-mail di phishing possono fornire informazioni personali o di accesso a siti web fraudolenti.
- Link dannosi: gli utenti che cliccano su link dannosi in e-mail o sui social media possono scaricare malware sui loro dispositivi.
- Utilizzo di dispositivi non protetti: servirsi di dispositivi privati per lavoro, senza protezione adeguata, può esporre l’azienda a minacce informatiche.
- Mancanza di formazione del personale: il personale non competente su questioni di sicurezza informatica può portare a errori di sicurezza.
- Protezione dei dati insufficiente: la mancanza di misure di sicurezza appropriate può rendere i dati sensibili vulnerabili alla violazione.
- Gestione degli accessi e monitoraggio delle attività non adeguati: controlli di sicurezza non efficaci possono rendere l’azienda vulnerabile agli attacchi informatici.
Formazione e awareness per mitigare l’errore umano
Per prevenire gli errori umani è fondamentale che le aziende investano in programmi continui e regolari di formazione e sensibilizzazione sulla sicurezza informatica per i loro dipendenti su come riconoscere le minacce comuni come il phishing e come rispondere in caso di sospetti attacchi.
Altre strategie da adottare riguardano l’implementazione di politiche di sicurezza rigorose, inclusa la gestione delle password e l'uso di autenticazione a due fattori, aggiornamenti e patching regolari del software, il monitoraggio e l’audit per individuare eventuali attività sospette e correggere potenziali vulnerabilità.
La cultura della sicurezza. Promuovere una cultura della sicurezza all'interno dell'organizzazione, dove tutti i dipendenti comprendano l'importanza della cybersecurity e il loro ruolo nel mantenerla è tuttavia fondamentale. Le organizzazioni devono quindi investire non solo in soluzioni tecnologiche, ma anche in formazione e sensibilizzazione continua per ridurre il rischio di errori umani.
Una prospettiva estesa sullo stato della cybersecurity
Il report Voice of the Ciso 2024 analizza le risposte raccolte da 1.600 Ciso di organizzazioni con almeno 1.000 dipendenti in diversi settori. Nel corso del primo trimestre del 2024, sono stati intervistati 100 Ciso tra Stati Uniti, Canada, Regno Unito, Francia, Germania, Italia, Spagna, Svezia, Paesi Bassi, Emirati Arabi Uniti, Arabia Saudita, Australia, Giappone, Singapore, Corea del Sud e Brasile.
Il report offre una prospettiva estesa sullo stato della cybersecurity di chi è in prima linea nella protezione di persone e dati, evidenziando l’errore umano in cima alle minacce di vulnerabilità cyber e sottolineando l’importanza di mantenere solide misure di sicurezza.
L’indagine misura anche i cambiamenti nell’allineamento tra i responsabili della sicurezza e i loro consigli di amministrazione, analizzando come il loro rapporto influisca sulle priorità di protezione.
I Ciso italiani più fiduciosi, ma preoccupati per l’AI generativa
Aumentano i Ciso italiani che temono gli attacchi cyber, ma diminuiscono quelli che si sentono impreparati, mostrando una crescente fiducia nelle proprie misure di sicurezza.
Nel 2024, il 61% dei Ciso intervistati si sente a rischio di subire un attacco informatico materiale nei prossimi 12 mesi, rispetto al 49% del 2023 e al 46% del 2022. Tuttavia, solo il 49% ritiene che la propria organizzazione sia impreparata a far fronte a un attacco informatico mirato, rispetto al 52% del 2023 e al 42% del 2022.
È, invece l’AI generativa a preoccupare i Ciso italiani. Nel 2024, il 45% dei Ciso italiani intervistati ritiene che l'A generativa rappresenti un rischio per la sicurezza della propria organizzazione.
In particolare, i primi tre sistemi citati dai Ciso come potenziali fonti di rischio sono: Slack/Teams/Zoom/altri strumenti di collaborazione (33%), Microsoft 365 (28%) e ChatGPT/altra AI generativa (27%).
Tra le preoccupazioni, il turnover del personale e il malware
Anche se i Ciso italiani hanno fiducia nelle loro difese, il turnover del personale rappresenta una preoccupazione.
Nel 2024, il 27% dei responsabili della sicurezza ha dichiarato di aver dovuto affrontare una perdita materiale di dati sensibili negli ultimi 12 mesi e, tra questi, il 52% concorda sul fatto che i dipendenti che hanno lasciato l’azienda abbiano contribuito alla perdita. Nonostante ciò, il 74% dei Ciso ritiene di avere controlli adeguati per proteggere i dati.
In cima alle preoccupazioni dei Ciso troviamo anche malware e ransomware. Le maggiori minacce alla sicurezza informatica indicate dai Ciso italiani nel 2024 sono malware (53%), attacchi ransomware (38%) e DDos (Distributed Denial of Service) (30%). Si tratta di un dato diverso rispetto allo scorso anno, in cui sul podio si trovavano attacchi alla supply chain, frodi via e-mail e malware.
Inoltre, la maggior parte dei Ciso italiani ha adottato tecnologie DLP (Data Loss Prevention) e investito maggiormente in formazione sulla sicurezza. Il 44% dei CISO italiani nel 2024 dispone di una tecnologia di prevenzione della perdita di dati (DLP), rispetto ad appena il 25% nel 2023. Poco meno della metà (49%) ha investito nella formazione dei dipendenti sulle migliori pratiche di sicurezza dei dati, con un aumento nel 2024 rispetto allo scorso anno (23%).
Crescono le assicurazioni informatiche
Un segnale positivo è che sta calando la propensione al pagamento di riscatti e, parallelamente, cresce il ricorso alle assicurazioni informatiche.
Nel 2024, il 45% (54% nel 2023) dei Ciso in Italia ritiene che la propria organizzazione pagherebbe per ripristinare i sistemi e impedire la diffusione dei dati in caso di attacco ransomware nei prossimi 12 mesi.
Il 79% ha dichiarato che si affiderà alle assicurazioni cyber per recuperare potenziali perdite subite, rispetto al 54% del 2023.
Ciso italiani a rischio burn out
Le pressioni sui Ciso italiani non accennano a diminuire. Nel 2024, il 52% dei Ciso ha ammesso di sentirsi a rischio burn out rispetto al 48% dell’anno scorso, mentre il 50% ritiene di dover affrontare aspettative eccessive, con un lieve calo rispetto al 51% dell’anno scorso e al 49% del 2022.
I Ciso continuano a essere messi alla prova nel supportare le aspettative: il 60% è preoccupato per la responsabilità personale (53% nel 2023) e il 79% (58% nel 2023) non si unirebbe a un’azienda che non offre una copertura assicurativa D&O (Directors & Officers).
Inoltre, il 55% concorda sul fatto che l’attuale recessione economica abbia ostacolato la loro capacità di effettuare investimenti critici per l’azienda, e al 48% di loro è stato chiesto di ridurre il personale o ritardare le sostituzioni e ridurre i budget per la sicurezza.
Migliora, invece, significativamente in Italia il rapporto tra Consiglio di Amministrazione e Ciso. Nel 2024, il 75% dei Ciso concorda sul fatto di essere considerato in modo paritetico sulle questioni di cybersecurity, un incremento significativo rispetto al 51% del 2023 e al 34% del 2022.
