Attualità

Proofpoint: sicurezza informatica e cultura del rischio nelle scelte aziendali

Un recente studio condotto da Proofpoint rivela che l’85% dei CISO italiani riconosce nei dipendenti la principale causa di vulnerabilità agli attacchi informatici. Cultura del rischio, awareness e formazione del personale vanno integrate nelle strategie aziendali. L’esempio dell’Aeroporto di Bologna.

Pubblicato il 31 Lug 2020

proofpoint 1

La vulnerabilità del personale è un fattore determinante in tema di sicurezza informatica questo perché l’educazione alla cybersecurity dei dipendenti non è ancora parte delle strategie aziendali. Ed è proprio la ricerca presentata da Proofpoint e realizzata in collaborazione con la community di CISO italiani Facciamo sistema – cybersecurity, ad evidenziare limiti e sfide per il futuro aziendale sul tema della cybersecurity.

Lo studio condotto in Italia tra maggio e giugno 2020, ha coinvolto 138 CSO/CISO di diversi settori industriali medio grandi. Tre i temi principali: la frequenza degli attacchi informatici, la preparazione dei dipendenti e delle organizzazioni e le problematiche da affrontare per l’implementazione di strategie informatiche di difesa.

Il 52% delle aziende ha subito almeno un attacco informatico nel 2019, tra queste il 41% ha dichiarato di aver subito attacchi multipli. Tra le principali sfide legate alla cybersecurity, l’85% dei CISO è consapevole che sono gli stessi dipendenti a rendere la propria azienda più vulnerabile. “Se si guarda a questi dati” spiega Luca Maiocchi, Country Manager Proofpoint per l’Italia “è fondamentale che le aziende abbandonino un approccio reattivo per muoversi in modo proattivo a favore di una cultura del rischio a livello manageriale oggi ancora insufficiente”.

foto Luca Maiocchi
Luca Maiocchi, Country Manager Proofpoint per l’Italia

I tipi di attacchi, rischi e vulnerabilità

Secondo lo studio, tra i 7 tipi di minacce principali, 5 sono riconducibili alle email. Il phishing (39%) è stato l’attacco più registrato, seguito dal business email compromise (28%), dalle minacce interne (22%) e credential phishing (22%). Gli attacchi BEC insieme alla compromissione degli account cloud (15%) sono le minacce più costose per le aziende. L’Italia è stata tra i primissimi paesi a subire attacchi durante l’emergenza Covid-19. La stessa Proofpoint racconta Maiocchi, il 10 febbraio ha individuato in Italia un attacco targettizzato e geolocalizzato riconducibile alla diffusione del coronavirus. Più recentemente, a maggio, continua Maiocchi “abbiamo rilevato un attacco di tipo lookalike domains che aveva come target le farmacie italiane”.

I principali rischio indicati dai CISO sono: i danni all’azienda e alla reputazione (87%), perdita di dati (80%) e interruzione dell’attività (74%). Si tratta di rischi fortemente impattanti che danneggiano sotto tutti i fronti l’azienda ed agiscono principalmente sulle vulnerabilità umane come nel caso delle minacce per email. (figura 1)

Figura 1 – Minacce e rischi per le aziende nel 2019. Fonte: ricerca Proofpoint 2020

Le sfide aziendali per un futuro sicuro

Se da una parte il 59% dei CISO si fida delle soluzioni e delle tecnologie di sicurezza implementate in azienda, di contro non solo il 41% non esprime fiducia ma solamente il 21% ritiene che il Board sia ben preparato e in grado di comprendere le tecnologie necessarie.

“Il futuro riserverà sempre nuove sfide ecco perché è di vitale importanza” spiega Maiocchi “che la cybersecurity diventi una componente strategica delle aziende che si concretizzi in ricerca di budget, approccio proattivo e people centric. Occorre una consapevolezza che deve partire dalla componente umana prima ancora che dalle tecnologie”. Oggi si parla sempre meno di vulnerabilità tecnologica proprio perché i sistemi sono più sicuri e le vulnerabilità esistenti hanno un mercato economico sempre più alto.

“Sono gli stessi CISO”, spiega Maiocchi “ad evidenziare come formazione e consapevolezza sulla cybersecurity siano fondamentali” (93%). E mentre, il 65% ammette di formare i propri dipendenti una volta all’anno o meno, il 76% vorrebbe avere un budget più elevato per la sicurezza informatica. (figura 2)

proofpoint 1
Figura 2 – La formazione è un elemento fondamentale della cybersecurity (a sinistra); fiducia nelle tecnologie (a destra). Fonte: ricerca Proofpoint 2020

Quanto vale il dato? L’esempio dell’aeroporto di Bologna

In tema di sicurezza informatica non basta la sola tecnologia occorre creare awareness a tutti i livelli e tradurre il valore economico da cui trarre il giusto investimento”. A parlare è Luigi Ricchi, team Information Technology e Innovazione dell’aeroporto G. Marconi di Bologna e parte della community di CISO che ha partecipato alla ricerca. Ricchi racconta l’esperienza diretta in un programma di Cybersecurity Awareness che ha coinvolto il personale dell’aeroporto bolognese. La parte più difficile, continua Ricchi, “è stata far comprendere al Board l’importanza di proteggere le vulnerabilità e adottare una vera cultura del rischio”. Per fare questo Ricchi ha utilizzato un processo di smart learning, 15 minuti di condivisione con i Ceo sul tema sicurezza partendo da una domanda: cosa succederebbe nel caso di furto o di compromissione del dato?

“Nel nostro caso” spiega Ricchi “significherebbe chiudere l’aeroporto: se si ha consapevolezza del dato aumenta la consapevolezza dell’impatto sul business”. Da quell’incontro, è nato un percorso di 24 mesi, avviato con fondi europei, attraverso la piattaforma Proofpoint per erogare assessment e training in modo ciclico.

“L’obiettivo principale è tuttora aumentare la maturità aziendale in tema di sicurezza e ad oggi” conclude Ricchi “sono soddisfatto ma soprattutto, lo sono i dirigenti”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4