Come va la cybersecurity? Nel complesso bene, come investimenti, perché difendersi è sempre più prioritario. Ma la vita professionale dei CISO si fa parallelamente sempre più complicata, perché lo scenario della cybersecurity lo è altrettanto. Questi sono i segnali principali che manda il report 2024 Cybersecurity Trends - Obstacles and Opportunities di Infosecurity Group, presentato oggi a Londra.

Il lato positivo è certamente il crescere degli investimenti in cybersecurity previsto per questo 2024. La grande maggioranza del campione esaminato ha dichiarato che il proprio budget è aumentato o aumenterà quest'anno. Circa il 15% prevede addirittura che il suo budget crescerà - o è già stato aumentato - del 50% o più. Il resto del campione "in crescita" è più conservativo: il 53% indica un aumento compreso tra il 10 e il 49 percento, mentre il 13% uno inferiore al 10%.

Chi prevede di aumentare il budget per la cybersecurity nel 2024 ha in mente alcune direzioni principali di spesa. Più precisamente, i campi a cui intende dedicare sino al 20% del maggiore budget a disposizione. Cloud security e incident response sono gli ambiti più gettonati, entrambi con il 47% di citazioni da parte del campione. Seguono da vicino altri temi tecnologici o iniziative: l'outsourcing verso i MSSP e gli antimalware al 46%, l'identity management al 45%, tre voci (training, patching, managed detection) al 43%, una coppia (AI e consolidamento dei prodotti in uso) al 41%.

Il report di Infosecurity Group però avvisa: parte di questi maggiori investimenti in cybersecurity non deriva da una organica volontà delle imprese di spendere di più in sicurezza rispetto al 2023. In molti casi i budget crescono perché crescono i costi delle licenze software e dei servizi di supporto, come anche gli stipendi dei professionisti della cybersecurity.

Ovviamente le ragioni per investire di più in servizi e soluzioni non mancano: le aziende sanno bene che il "threat landscape" è sempre più articolato, e si attrezzano per difendersi da quelle che considerano le minacce più pericolose. Quali? Il buon vecchio ransomware e le nuove minacce generate dall'AI sono state le più votate dal campione del report - entrambe al 40% di citazioni - seguite dal social engineering, dagli errori umani e dai rischi associati alla supply chain (tutti al 33%).

Il ruolo della GenAI

Se le minacce da cui difendersi sono nel complesso un bilanciato mix di classici e di novità, è indubbio che chiunque si occupi di sicurezza sta guardando in particolare ai pro e ai contro della vera novità di questi mesi: l'AI generativa. I risultati del report confermano ciò che tutti pensano da tempo: l'AI può essere sia una bene che un male. Oggi siamo a quello che viene percepito come un vero e proprio punto di svolta, ma nessuno sa se i vantaggi dell'uso dell'AI in termini di sicurezza saranno superiori agli svantaggi.

Oltre la metà (54%) del campione di Infosecurity Group ha dichiarato di avere in programma di implementare l'AI come parte della strategia di cybersecurity nei prossimi 12 mesi. Magari per conoscere meglio - e non ci sarebbe niente di male - un potenziale "nemico", dato che il 50% del campione pensa anche che l'AI provocherà un aumento degli attacchi informatici.

I professionisti della cybersecurity cercano di essere ottimisti sulla GenAI. Il 42% del camoione pensa che l'IA avrà un impatto positivo portando un training più rapido, una maggiore awareness e a una migliore educazione degli utenti. In quest'ottica, l'AI generativa potrebbe contribuire a colmare il gap di competenze nel settore della cybersecurity, che attualmente è di 4 milioni di professionisti a livello globale.

Il 44% del campione ritiene che l'AI darà alla propria impresa la possibilità di concentrarsi su attività a valore aggiunto come la pianificazione e la crescita del business. Una visione che deriva direttamente dall'idea che l'AI fa crescere l'automazione all'interno delle organizzazioni (il 48% degli intervistati crede che questo avverrà nei prossimi mesi). Un (bel) po' di prudenza comunque rimane: la metà del campione ritiene infatti che questioni normative ed etiche rallenteranno l'adozione dell'AI in questo 2024.

Crescenti complessità

AI a parte, il segnale che i professionisti della cybersecurity stanno lanciando è chiaro: tutto sta diventando man mano troppo complesso da gestire e proteggere. Ad esempio la parte normativa: la compliance è un ostacolo per la maggior parte delle organizzazioni perché le singole norme - lo indica il 44% del campione - sono troppo complicate e hanno un raggio d'azione eccessivo.

Secondo i professionisti intervistati, alcune normative - come la NIS2 - includono requisiti specifici che possono richiedere alle aziende di rispettare ulteriori standard, complicando ulteriormente gli sforzi di compliance. Per altre norme sono eccessivi i costi legati direttamente alla compliance, alla formazione del personale e alla creazione di solidi sistemi di controllo interno. In generale, rimanere aggiornati con il panorama normativo legato alla cybersecurity richiede poi uno sforzo continuo, che a volte pesa su risorse già limitate.

Con sempre più problemi da affrontare in modo strutturato, i responsabili della cybersecurity cercano di definire una strategia di nuovo vincente. Ma sono molto divisi su quale sia l'elemento chiave su cui puntare. Il 17% del campione vorrebbe automatizzare tutto grazie all'AI, mentre il 16% farebbe tabula rasa di quello che ha per partire di nuovo da zero. Il 15% punta su una profonda azione di formazione e upskilling per costruire internamente una vera cultura della sicurezza, all'opposto il 13% preferirebbe esternalizzare tutta la sicurezza aziendale a un MSSP.

E uno dei principali problemi sperimentati da chi fa cybersecurity in azienda resta sempre ben presente: una cultura trasversale della cybersecurity in azienda non si riesce ad ottenere. I motivi si sanno: il 27% del campione ha dichiarato che la mancanza di comunicazione tra i reparti, la scarsa chiarezza delle responsabilità e della titolarità del rischio e i problemi di coinvolgimento della leadership impediscono di creare una cultura del genere.

Il 36% dei responsabili della sicurezza ha dichiarato poi che fa fatica ad affrontare i temi della cybersecurity a livello di consiglio di amministrazione, anche se si sa che il coinvolgimento del board nella cybersecurity è spesso un fattore chiave. Serve purtroppo toccarlo con mano: il 30% del campione ha dichiarato che il proprio board si dedicherebbe finalmente alla cybersecurity se l'azienda venisse colpita da qualche threat actor e dovesse ripristinare infrastruttura, processi e reputazione dopo l'attacco.