In Italia aumenta la percezione del rischio di un attacco informatico, evenienza per la quale sempre più aziende di si reputano preparate. Posto che la cybersecurity è ormai una priorità per la stragrande maggioranza delle imprese, troppe continuano a non investire abbastanza. È questa, per sommi capi, la fotografia della cybersecurity in Italia scattata dagli esperti di Proofpoint e illustrata nel report Cybersecurity: The 2023 Board Perspective, che analizza la percezione dei consigli di amministrazione in merito a temi quali il panorama delle minacce globali, le priorità di cybersecurity e le relazioni con i CISO.

Per il report sono stati intervistati 659 membri dei consigli di amministrazione di aziende con 5.000 o più dipendenti di diversi settori, in 12 Paesi fra cui l’Italia. Circoscrivendo il discorso al belpaese, il 67% degli intervistati ha dichiarato di sentirsi a rischio di un attacco informatico materiale - un dato in aumento rispetto al 60% del 2022. Migliora il livello di preparazione: il 39% dichiara di sentirsi impreparato ad affrontare un attacco mirato contro il 52% che lo scorso anno faceva la medesima dichiarazione.

Le interviste hanno fatto emergere altri dati interessanti. Il 75% degli intervistati italiani considera la cybersecurity una priorità e il 71% ritiene che il proprio consiglio di amministrazione comprenda chiaramente i rischi informatici da affrontare. Il passaggio dalle parole ai fatti però non è sempre immediato: solo il 57% afferma di aver investito adeguatamente nella cybersecurity, ma almeno l’85% prevede che il proprio budget per la cybersecurity aumenterà nei prossimi 12 mesi.

Una curiosità riguarda l’influenza che le novità esercitano sui manager di alto livello: il 39% dei direttori dei consigli di amministrazione italiani intervistati considera ChatGPT un rischio per la sicurezza della propria organizzazione, mentre a livello globale la stessa percezione è condivisa dal 59% degli interpellati.

CdA e CISO

Sovente quello fra Consiglio di Amministrazione e CISO è un rapporto difficile. Il report di Proofpoint entra nel merito e conferma che Consigli di amministrazione e CISO mostrano preoccupazioni diverse riguardo alle principali minacce. Per il board, malware (41%), ransomware (39%), compromissione degli account cloud (31%) e attacchi DDoS (31%) sono le principali preoccupazioni. I CISO italiani invece temono soprattutto attacchi alla supply chain (30%), frodi via email/BEC (26%) e malware (25%).

Al contrario, i dirigenti sono tendenzialmente allineati ai CISO per quanto riguarda i rischi legati a persone e protezione dei dati: circa la metà dei consigli di amministrazione (55%) e dei CISO italiani (48%) concorda sul fatto che l’errore umano sia il rischio maggiore ed entrambi - 59% e 53% - condividono livelli di fiducia simili nella capacità di protezione dei dati della propria organizzazione. La responsabilità personale continua a preoccupare sia i consigli di amministrazione che i CISO: il 63% dei dirigenti ha espresso preoccupazione per la responsabilità personale in seguito a un incidente di cybersecurity nella propria organizzazione, confermata anche dal 53% dei CISO.

Questo conferma quanto già noto da tempo: le interazioni e le relazioni tra consiglio e CISO devono migliorare. Il 55% dei dirigenti italiani afferma di interagire regolarmente con i responsabili della sicurezza, in calo rispetto al 67% dello scorso anno. Questo dato lascia quindi quasi la metà dei consigli di amministrazione senza solide relazioni con i CISO. Nonostante questo, consigli di amministrazione e CISO sono generalmente allineati quando interagiscono, con il 67% dei dirigenti che afferma di avere una visione d’insieme con il proprio CISO (con il 57% dei CISO che conferma la relazione).