La vulnerabilità del personale è un fattore determinante in tema di sicurezza informatica questo perché l’educazione alla cybersecurity dei dipendenti non è ancora parte delle strategie aziendali. Ed è proprio la ricerca presentata da Proofpoint e realizzata in collaborazione con la community di CISO italiani Facciamo sistema – cybersecurity, ad evidenziare limiti e sfide per il futuro aziendale sul tema della cybersecurity.
Lo studio condotto in Italia tra maggio e giugno 2020, ha coinvolto 138 CSO/CISO di diversi settori industriali medio grandi. Tre i temi principali: la frequenza degli attacchi informatici, la preparazione dei dipendenti e delle organizzazioni e le problematiche da affrontare per l’implementazione di strategie informatiche di difesa.
Il 52% delle aziende ha subito almeno un attacco informatico nel 2019, tra queste il 41% ha dichiarato di aver subito attacchi multipli. Tra le principali sfide legate alla cybersecurity, l’85% dei CISO è consapevole che sono gli stessi dipendenti a rendere la propria azienda più vulnerabile. “Se si guarda a questi dati” spiega Luca Maiocchi, Country Manager Proofpoint per l’Italia “è fondamentale che le aziende abbandonino un approccio reattivo per muoversi in modo proattivo a favore di una cultura del rischio a livello manageriale oggi ancora insufficiente”.
I tipi di attacchi, rischi e vulnerabilità
Secondo lo studio, tra i 7 tipi di minacce principali, 5 sono riconducibili alle email. Il phishing (39%) è stato l’attacco più registrato, seguito dal business email compromise (28%), dalle minacce interne (22%) e credential phishing (22%). Gli attacchi BEC insieme alla compromissione degli account cloud (15%) sono le minacce più costose per le aziende. L’Italia è stata tra i primissimi paesi a subire attacchi durante l’emergenza Covid-19. La stessa Proofpoint racconta Maiocchi, il 10 febbraio ha individuato in Italia un attacco targettizzato e geolocalizzato riconducibile alla diffusione del coronavirus. Più recentemente, a maggio, continua Maiocchi “abbiamo rilevato un attacco di tipo lookalike domains che aveva come target le farmacie italiane”.
I principali rischio indicati dai CISO sono: i danni all’azienda e alla reputazione (87%), perdita di dati (80%) e interruzione dell’attività (74%). Si tratta di rischi fortemente impattanti che danneggiano sotto tutti i fronti l’azienda ed agiscono principalmente sulle vulnerabilità umane come nel caso delle minacce per email. (figura 1)
Le sfide aziendali per un futuro sicuro
Se da una parte il 59% dei CISO si fida delle soluzioni e delle tecnologie di sicurezza implementate in azienda, di contro non solo il 41% non esprime fiducia ma solamente il 21% ritiene che il Board sia ben preparato e in grado di comprendere le tecnologie necessarie.
“Il futuro riserverà sempre nuove sfide ecco perché è di vitale importanza” spiega Maiocchi “che la cybersecurity diventi una componente strategica delle aziende che si concretizzi in ricerca di budget, approccio proattivo e people centric. Occorre una consapevolezza che deve partire dalla componente umana prima ancora che dalle tecnologie”. Oggi si parla sempre meno di vulnerabilità tecnologica proprio perché i sistemi sono più sicuri e le vulnerabilità esistenti hanno un mercato economico sempre più alto.
“Sono gli stessi CISO”, spiega Maiocchi “ad evidenziare come formazione e consapevolezza sulla cybersecurity siano fondamentali” (93%). E mentre, il 65% ammette di formare i propri dipendenti una volta all’anno o meno, il 76% vorrebbe avere un budget più elevato per la sicurezza informatica. (figura 2)
Quanto vale il dato? L’esempio dell’aeroporto di Bologna
In tema di sicurezza informatica non basta la sola tecnologia occorre creare awareness a tutti i livelli e tradurre il valore economico da cui trarre il giusto investimento”. A parlare è Luigi Ricchi, team Information Technology e Innovazione dell’aeroporto G. Marconi di Bologna e parte della community di CISO che ha partecipato alla ricerca. Ricchi racconta l’esperienza diretta in un programma di Cybersecurity Awareness che ha coinvolto il personale dell’aeroporto bolognese. La parte più difficile, continua Ricchi, “è stata far comprendere al Board l’importanza di proteggere le vulnerabilità e adottare una vera cultura del rischio”. Per fare questo Ricchi ha utilizzato un processo di smart learning, 15 minuti di condivisione con i Ceo sul tema sicurezza partendo da una domanda: cosa succederebbe nel caso di furto o di compromissione del dato?
“Nel nostro caso” spiega Ricchi “significherebbe chiudere l’aeroporto: se si ha consapevolezza del dato aumenta la consapevolezza dell’impatto sul business”. Da quell’incontro, è nato un percorso di 24 mesi, avviato con fondi europei, attraverso la piattaforma Proofpoint per erogare assessment e training in modo ciclico.
“L’obiettivo principale è tuttora aumentare la maturità aziendale in tema di sicurezza e ad oggi” conclude Ricchi “sono soddisfatto ma soprattutto, lo sono i dirigenti”.