Quali sono le minacce più temute dai CISO, quali ritengono di poter gestire meglio, che cosa pensano dei dipendenti e qual è il rapporto di questi professionisti con i board aziendali? Sono alcune delle domande al centro del report Voice of the CISO condotto da Proofpoint, intervistando 1.400 professionisti di 14 Paesi, Italia compresa. Nel 2021 erano impiegati nel ruolo di CISO in diversi settori industriali, in imprese con un minimo 200 dipendenti.

Si tratta di un documento importante, perché sviluppa e aiuta a sondare a fondo alcuni dei temi più centrali della cybersecurity moderna. In un incontro con la stampa hanno presentato i dati più importanti Andrew Rose, Resident CISO EMEA, Luca Maiocchi, country manager, e Antonio Ieranò, Evangelist-Cyber Security Strategy & Senior SE di Proofpoint.

La cybersecurity è (anche) una questione culturale

Uno degli elementi che emerge in maniera preponderante è la percezione del rischio. Un concetto legato a doppio filo con la cultura cyber e di security dei Paesi, con la dimensione dell’azienda e del settore in cui opera. In particolare, Luca Maiocchi e Antonio Ieranò hanno ribadito più volte nel corso della presentazione che maggiore è la maturità informatica del Paese, maggiori sono l’attenzione e la sensibilità verso la cyber security.

Si capisce subito dalla prima domanda, in cui è stato chiesto ai CISO se ritenessero che la propria azienda fosse a rischio di un attacco informatico. Francia, Canada, Australia e Singapore esprimono la percezione maggiore. Maiocchi ricorda che l’agenzia di cybersicurezza nazionale francese (ANSSI) è nata nel 2009, il suo alter ego italiano (Agenzia per la Cybersicurezza Nazionale – ACN) è stata fondata nel 2021.

Lo stesso concetto è dirompente anche nella domanda che riguarda la percezione del ruolo dei dipendenti nella difesa dalle minacce informatiche: in media il 60% dei CISO pensa che i dipendenti siano una componente importante per la protezione del perimetro di sicurezza, e ci tiene che comprendano il proprio ruolo. Tuttavia, ci sono grosse differenze fra le risposte. L’Italia è sotto alla media globale, per la bassa percezione del legame che intercorre fra la cyber security e la gestione delle persone – che a sua volta dipende dal fatto che l’attenzione per la cybersecurity si sta ancora sviluppando.

In questo frangente emergono anche differenze per settore: nei servizi professionali e nella produzione, la percezione del ruolo di security svolto dai dipendenti è più alta, in altri come per esempio la sanità e l’education, è molto bassa perché storicamente non si era mai percepita la sicurezza come elemento influente sull’erogazione e sulla qualità dei servizi.

Il sondaggio di Proofpoint ha esaminato anche sfaccettature meno gettonate del ruolo dei dipendenti, come per esempio l’inquadramento dell’errore umano nella considerazione dei CISO. I CISO dei Paesi informaticamente più maturi come Canada, Australia, Regno Unito e Francia riconoscono il livello di rischio che i loro dipendenti costituiscono.

Arabia Saudita, Italia e Giappone sono fanalino di coda, per motivazioni del tutto differenti. In Giappone c’è una cultura elevatissima del lavoro, che porta a sopravvalutare l’affidabilità dei dipendenti rispetto alla situazione reale, il che introduce forti componenti di rischio non previsti. Arabia Saudita e Italia sono invece accomunate da una posizione culturale superata, in cui non è ancora riconosciuto al dipendente quel ruolo importante in termini di sicurezza informatica che invece è doveroso attestargli dopo l’avvento della crisi sanitaria e la diffusione del lavoro da casa.

Le minacce, fra percezione e realtà

Il capitolo delle minacce è molto interessate. Anche qui si parla di percezione: a dispetto delle cronache di cybersecurity, in cui il ransomware primeggia, a livello globale preoccupano maggiormente i CISO le minacce interne (dovute a negligenze più che ad atti volontari di sabotaggio), seguite dai DDoS e dalle minacce veicolate via email. Malware e ransomware occupano la quinta e sesta posizione nelle preoccupazioni dei CISO, chiudono la top 8 smishing e attacchi alle supply chain. In Italia le minacce percepite sono le stesse, ma in posizioni differenti. La seconda piazza spetta allo smishing (sorprendentemente alto), la quinta posizione è occupata dalle violazioni degli account cloud.

Proprio per il ruolo primario del ransomware nella cronaca quotidiana, è impossibile non soffermarsi su questa minaccia. L’impennata degli attacchi ha sortito secondo Proofpoint un effetto positivo: ha rafforzato la consapevolezza dei rischi da parte dei CISO e la coscienza che è un problema diffuso, non di nicchia.

Qui le questioni da dibattere sono due: la protezione e il pagamento dei riscatti. Maiocchi ricorda, a scanso di equivoci, che in Italia il pagamento del riscatto non è legale. Questo significa che qualsiasi dichiarazione in merito ai pagamenti non può essere considerata affidabile, proprio per il fatto che non si può ammettere ufficialmente e pubblicamente di avere commesso un reato.

Nell’analisi dei dati, Ieranò mette l’accento su alcuni aspetti in chiaroscuro. Il primo è che il 59% dei CISO afferma di privilegiare la prevenzione rispetto alla detection e response. È da ritenersi un atteggiamento positivo nella misura in cui spostarsi verso la prevenzione significa approcciare il problema in maniera sistemica. D’altro canto, è preoccupante perché la risposta deve comunque essere oggetto di sviluppo coerente e solido.

Un altro dato, confortante a livello globale, non lo è nel caso specifico dell’Italia. Parliamo del fatto che il 58% dei CISO interpellati dichiara di condurre periodicamente esercitazioni sul ransomware. È l’approccio corretto, ma in Italia sono pochissimi a seguirlo, soprattutto in alcuni ambiti in cui questo atteggiamento è lungi dall’essere compreso.

Un altro dato da interpretare è che il 60% degli intervistati dichiara di avere implementato un programma di risposta. Volendo vedere il bicchiere mezzo vuoto, significa che il 40% delle aziende è privo di piani di risposta agli attacchi: preoccupante. Altrettanto preoccupante è il fatto che il 58% dei rispondenti vanta di avere sottoscritto policy per pagamento dei riscatti: al di là della questione legale sollevata sopra, significa che si sta applicando uno slittamento della gestione del rischio sulle polizze assicurative.

Premesso che adottate un’assicurazione informatica come metodo di protezione non è l’ideale, è positivo il fatto che le assicurazioni impongano una serie di controlli e l’attuazione di una serie di misure che consentono al CISO di implementare strumenti di sicurezza che altrimenti farebbe fatica a farsi approvare dal board.

L’ultima nota riguarda l’implementazione per Paese degli strumenti atti a impedire che il ransomware entri in azienda. Ovviamente è più sviluppata nei Paesi che hanno una cultura di prevenzione e una coscienza informatica più avanzate. Sul fronte italiano, nonostante la diffusione degli attacchi ransomware, questi non vengono percepiti come un’alta priorità, quindi solo il 53% dei CISO italiani si occupa della prevenzione.

La questione della great resignation

Difficilmente in Italia si inquadra il fenomeno della “great resignation” come un aspetto di security. Anche qui, la posizione è figlia di un retaggio culturale immaturo su cui bisogna lavorare. È un argomento che va a braccetto con i problemi di sicurezza informatica introdotti con il lavoro da casa. Proofpoint spiega che si tratta di due rischi nuovi per la cybersecurity, che hanno spostato la problematica della sicurezza dalle aziende alle persone.

Il telelavoro comporta l’esposizione al rischio di persone che operano al di fuori dal perimetro di sicurezza tradizionale. Le Grandi Dimissioni implicano un know-how che gli utenti portano con sé nel passaggio da un’azienda all’altra, privando quella di provenienza di una proprietà intellettuale e di un valore legato al trasferimento di dati.

I CISO dei Paesi più maturi sotto l’aspetto informatico segnalano di avere percepito un forte aumento del rischio cyber legato questi due fenomeni. Quelli italiani ne hanno avuto contezza solo in minima parte, tanto che siamo fra i fanalini di coda della classifica. Secondo Proofpoint, il motivo è un’errata interpretazione della questione: oltre ai board, anche i CISO nostrani hanno visto questi due fenomeni come conseguenze circoscritte all’emergenza pandemica, e non come fenomeni sistematici destinati a cambiare il quadro d’insieme. Cosa che in realtà sono.

In altre parole, hanno valutato il problema nell’ottica del breve periodo, ma non lo hanno sviluppato sul medio e lungo periodo. È un problema di approccio non indifferente, se si pensa che su LinkedIn il 41% dei lavoratori globali valuta di cambiare lavoro. La questione investe soprattutto per le PMI, perché secondo i dati di Proofpoint le realtà più grandi sopperiscono meglio alle mancanze di competenze interne.

Oltre agli effetti collaterali già citati, un altro da non sottovalutare è che questi importanti cambiamenti nel modo di lavorare richiedono un diverso processo di gestione dei dati. Per questo il 52% dei CISO ammette che il turnover ha accelerato l’esternalizzazione dei servizi di sicurezza per paura di un abbassamento della capacità di difesa.

Chiudiamo con una nota positiva sul telelavoro, di cui si parla molto poco. Metà dei CISO ammette che il telelavoro alla lunga ha sortito un impatto positivo sulla sicurezza, perché ha portato alla luce problematiche di sicurezza che altrimenti non sarebbero mai state affrontate.